У меня есть веб-API на основе intr anet, который я буду защищать с помощью windows аутентификации, но как мне также защитить внешний интерфейс с точки зрения показа только определенных действий пользователям с определенной ролью?
Например, в MVC я мог бы сделать что-то вроде этого в представлении:
if (User.IsInRole("SecureRoleA") == true)
...show button <button></button>
}
Но в реакции:
- Я не буду доступ к
User.IsInRole
и - любой код, который я пишу таким образом, будет доступен для просмотра в файле javascript, который не кажется очень безопасным (даже если сервер также должен проверить, есть ли у них доступ).
Какой здесь рекомендуемый подход? Должен ли я отправить группы, к которым принадлежит пользователь, в реакцию и, возможно, сохранить их в локальном хранилище, чтобы можно было выполнить проверку? Или есть способ получше?