我正在研究SPA,並想知道在頁面上顯示和隱藏HTML元素的最佳方法取決於用戶憑據。保護SPA中的HTML元素
我有一個使用AngularJS的RestfulAPI後端和JS重客戶端。在獲得身份驗證後,我希望頁面的某些元素變得可見,並根據用戶授權的內容隱藏其他元素。
現在我發送一個JSON對象從服務器進行身份驗證,它包含權限列表(只是一個字符串數組),並顯示/隱藏元素,具體取決於權限數組中相應鍵的存在。
我有我的服務器端APIs安全,並確保在處理每個請求之前 - 用戶授權。
此,我想,會幫我防範人與我的HTML篡改& JS並啓用客戶端上的元素和試圖使他們無權請求。
僞安全級別我確保發送到客戶端的權限名都只是一個別名到實際權限。當API試圖授權請求時,它所尋找的聲明的命名方式不同。
我的問題是 - 這是一種安全的方法嗎?
那裏有更好的方法嗎?
我是否應該僅在授權時才從服務器獲取HTML模板,其中僅包含用戶有權查看的HTML?
如果我的服務器端授權是密封的,那麼用戶查看所有HTML的能力是否還是很重要?