我目前正在构建一个JavaScript,其中包含一些只能访问特定用户组的区域 - 假设他们购买了一个产品并可以在应用程序中输入产品视图。 (一切都发生在同一页面上。)
现在我的方法如下:
//发生了一些请求,下一个组件即将加载 ...
y = x**2 + 3*x + 7因此,据我所知,基本上这将是一种易受攻击的方法。我目前保持尽可能“安全”的解决方案是检查每个后续请求,如果用户有权在那里 - 最终在某些时候将他踢出去。
还有其他方法可以在这里应用吗?
答案 0 :(得分:0)
当你说“一切都发生在同一页面上”时,我假设你正在谈论单页应用程序。这意味着您可以通过加载XHR的应用程序端点获取内容。
这里有两个选择: - 您的api调用应返回有关尝试接收数据的正确STATUS代码 - api返回的每个对象都应该具有允许用户使用的权限。例如
"permisssions":{
"view":true,
"delete":false
}