我希望根据登录用户的权限显示部分页面。我的模板看起来像:
{{#if hasPermissions permission="SectionA"}}
Section A code...
{{/if}}
{{#if hasPermissions permission="SectionB"}}
Section B code...
{{/if}}
我的模板助手将包含一个名为hasPermission的方法,该方法将permission作为参数。对于用户是否具有权限,该方法的结果将是布尔值true / false。
我需要知道的是,最终用户是否能够在客户端编辑hasPermissions代码或打开断点并在发回之前更改结果?用户无法破解客户端代码以允许他们查看不允许查看的内容,这一点非常重要。
如果是用户可以编辑代码的情况 - 根据权限实现显示页面部分的方法是什么?
答案 0 :(得分:1)
您应始终检查服务器端上的权限,以便仅将允许的数据推送到客户端。
然后,无论客户端代码是否被黑客入侵,您的模板都可能显示允许的用户会看到的“空壳”,但他/她不会看到任何数据。
在像Meteor这样的单页应用中,没有多少选择;有人可能能够显示模板黑客攻击,但只要模板本身没有数据就没用,黑客攻击客户端代码只会浪费时间。