因此,我一直在試圖找出如何在SPA應用程序中處理授權而不是身份驗證的最佳實踐。授權在SPA或客戶端應用程序
說我有一個客戶端MVC(角度,vuejs等..)與api後端,我們如何管理使用授權的應用程序?
例如,用戶和經理都可以訪問,但其中一個訪問(視圖中的功能)比另一個訪問更多。如果他們都在客戶端使用相同的用戶界面,那麼如何根據他們的訪問權限保護和呈現正確的視圖?可以選擇獲取他們的角色/聲明列表,並根據它確定在客戶端上呈現的內容,但由於基於JS,因此可以輕鬆繞開。
聽起來,客戶端mvc應用程序可能不是正確的解決方案,SSR應用程序更適合這一點。如果是這樣的話,那麼手機殼呢?你如何解決移動設備的相同問題,而無需開發真正的原生應用程序?
另一個問題,如果你創建一個客戶端應用程序,跟蹤授權規則的最佳方式是什麼?你是否一次抓取它們,將它們保存在本地,或者是否進行API調用以檢查每個規則?安全和效率方面的最佳實踐? – mghz