-3
我有一個網站,運行一個NodeJS後端和一個ReactJS前端。所有的前端邏輯都發生在用戶的瀏覽器中,前端訪問後端路由以獲取業務邏輯。目前,我們使用passportjs對用戶進行身份驗證。但是,當用戶登錄時,他或她仍然可以使用Postman之類的東西來打通所有的後端路由,其中很多應該是私有的。有沒有一種方法可以確保只有管理員或我們的平臺可以打到我們的後端路線?我認爲這需要某種總是賦予前端邏輯的管理權限,但我想知道是否有最佳做法。與客戶端安全服務器javascript
如果客戶端需要訪問後端,您可以通過正常身份驗證來阻止訪問後端。一旦用戶登錄,沒有任何東西阻止該用戶使用他們的授權憑證通過fiddler或具有相同憑證的類似軟件發送他們自己的請求。 – 2014-12-01 21:30:54
您可以在這裏做的唯一事情就是通過默默無聞的安全性,即使大部分用戶放棄手動操作非常麻煩。沒有隻有瀏覽器具有的魔力。 – FakeRainBrigand 2014-12-02 05:13:00