我有一个使用NodeJS后端和ReactJS前端运行的站点。所有前端逻辑都在用户的浏览器中进行,并且前端命中后端路由以获得业务逻辑。目前,我们使用passportjs对用户进行身份验证。但是,当用户登录时,他或她仍然可以使用像Postman这样的东西来打击所有后端路由,其中许多应该是私有的。有没有一种方法可以确保只有管理员或我们的平台才能打到我们的后端路由?我认为这需要一些总是给前端逻辑的管理员权限,但我想知道是否有最佳实践。
答案 0 :(得分:0)
不幸的是,在客户的护照(或其他身份验证)之后,您可以做很少的事情来覆盖您的服务,而无需建立额外的身份。
这更多地出现在app arch / design领域,所以希望你的重构能力不会太远。如果没有,那么我建议抽象你的服务,这样你就可以更细致地保护它们。例如。将您的服务分层,以便在调用某些私有/安全业务逻辑之前建立身份。像这样的框架可以解决这个问题:http://loopback.io/