我目前正在使用flux并运行一个nodejs应用程序并做出反应。特别敏感。对于用户身份验证,我使用的是passport.js,它简化了对用户进行身份验证,创建会话和验证会话的过程。验证会话后,我的服务器会发回一个用户对象。
{ _id: foo, email: foo@bar.com }
然后我的身份验证商店有一个方法IsLoggedIn来返回商店是否有用户。但是我意识到这不安全,好像商店中的数据被操纵一样,即使用户实际上没有登录,商店也会返回isLoggedIn。我目前处理此问题的方法是,当用户调用需要身份验证的apis时,我会在api调用中检查身份验证。因此,如果恶意用户使用flux存储数据,他们可能会看到针对已登录用户/不同组件的操作,但他们无法实际修改任何内容。我打算为用户管理员权限做同样的事情。我的问题是,有没有更好的方法来解决这个问题? (即不向客户公开数据的更好方法)
答案 0 :(得分:1)
不,没有更好的方法。
客户端总是可以被恶意用户操纵,你不能盲目相信:你总是必须像服务器那样在服务器端实现安全性。