React Private Routes действительно безопасен?

Question

Я хотел бы создать собственный блог, используя React в качестве внешнего интерфейса с административной панелью для написания статей и т. Д.

Я исследовал это и увидел, что могу сделать некоторые маршруты приватными. , «myblog.com/admin» для доступа к приборной панели, если пользователь (admin) прошел проверку подлинности с помощью бэкэнда и т. д. c.

Однако эта приборная панель все еще будет в браузере клиента, в любом случае аутентифицировано или нет. Если хакер или кто-то еще модифицирует JavaScript, он может перепрыгнуть через аутентификацию и получить доступ к панели инструментов и написать сообщение через API, не так ли? Возможно, решение заключается в том, что каждый раз, когда администратор использует API, я проверяю, кто отправляет его на стороне сервера, или, может быть, я заблудился в том, как это должно работать.

Я новичок в веб-разработке.

Answer 1

Нет! Это небезопасно, вы используете код на стороне клиента, и каждый может видеть / изменять ваш код клиента.

Вам необходимо обработать все запросы администратора на вашем API и проверить, действительно ли пользователь является администратором.

Или посвятите свой админ-сайт специальному URL / серверу.

Еще раз: проверка на стороне клиента - это хорошо, но вам нужно проверить на API.