我的問題是關於在今天的前端世界登錄:驗證在前端的世界框架
在服務器端渲染的老路子- 我會在後臺驗證用戶登錄和渲染整個HTML適合登錄用戶的頁面。
但現在使用前端框架 - 我在用戶第一次進入網站時爲用戶提供了所有可能的頁面,然後在瀏覽器中爲他提供了正確的頁面。
據我現在所理解的 - 要在前端框架中登錄用戶,我需要保存一個變量,指示他在localStorage中進行了身份驗證(甚至可能是他在管理員身上的角色),並且以這種方式當我構建頁面時,我只需要詢問這個變量是否在localStorage中以知道用戶是否已登錄,並且如果他的角色是admin,並且兩者都是真的,我向他展示所有管理功能
但是,這意味着如果我是黑客 - 我需要做的就是手動將此變量添加到localStorage,然後我將看到整個管理功能。
這給我帶來了我的問題 - 有沒有更好的方式在今天的前端世界中執行登錄驗證? 還是我必須讓黑客看到所有的管理功能,並且只能保護它們不被未經授權的用戶在後端使用?
您不想使用localStorage,但可能是一個安全的Cookie,因爲如果您將admin角色存儲在localStorage中,並且用戶被撤銷後立即進入管理員訪問權限,則用戶仍然可以訪問僅限管理員的區域,因爲localStorage持續 – yoonjesung