我是 reactjs 的新手,我一直試圖了解身份驗證令牌如何保護路由。在各種教程中,人們在登錄用戶時從 api 獲取該令牌,然后將其與在 localStorage 中設定為 true 的“isAuthenticated”變數一起存盤。然后在路由時,他們檢查 isAuthenticated 是否為真,沒有任何 api 呼叫來驗證令牌。那安全嗎?我試圖以相同的方式實作授權,只需添加一些 isAuthorized 變數,但是由于 react 在客戶端作業,所以不能同時篡改這兩個變數嗎?
uj5u.com熱心網友回復:
他們當然可以。客戶端上的任何內容都完全由用戶控制。沒有“客戶端授權”。此類功能(對客戶端某些功能的訪問控制)通常是一種用戶體驗功能,例如為什么向用戶顯示無論如何都不起作用的東西。
所有授權都必須在服務器端完成。
這本質上意味著通常可以在客戶端中擁有沒有資料的頁面結構(視圖)供任何人查看,關鍵是來自后端的資料將被授權并且僅對適當的用戶可用。
轉載請註明出處,本文鏈接:https://www.uj5u.com/qiye/391572.html
