我习惯在rails视图中使用cancan来显示/隐藏视觉元素,具体取决于用户权限。例如,向允许添加新帖子的用户显示“添加新帖子”链接。
在骨干应用程序中,我将开始时将整个应用程序发送给客户端,如何确保显示这些元素。显然,我可以根据用户模型的属性隐藏它们。但是可以在客户端覆盖此属性。
只是想知道其他人正在做些什么来保护他们的应用程序免受人们弄乱客户端的js。或者我太安全了(因为授权仍在服务器上正常工作,因此不会向客户端发送任何数据)。
答案 0 :(得分:3)
我不会说你确实“过于安全”,但当然你必须依靠你的后端来防止未经授权的活动。甚至在您开始使用客户端框架之前,有人可能已经模拟了一个“添加新帖子”链接,您必须阻止访问服务器,没有任何更改。