想象一下,有一个应用程序,它具有繁重的管理界面,具有如此多的酷炫功能,以及简单的用户界面,如一个按钮。 我知道我可以基于某些东西限制我访问我的网址(组件)。(密钥,哈希或其他)。 我想要实现的目标是: 如果后端决定我是普通用户 - 它只发送一个小应用程序(例如只有一个带按钮的组件),并且用户没有收到(整个站点功能)的所有重组件代码。所以他将无法分析我的管理员javascript。 如果后端deicdes我是员工 - 前端应该为员工收到所有必要的组件。如果我是管理员,我应该收到所有组件。
答案 0 :(得分:3)
问题是:
一般模式是发送整个js捆绑文件(您可以对其进行模糊处理,缩小等),但它仍将包含您已实现的模板和代码。对于大多数情况,这不是问题,因为实际上没有敏感数据。关键是要正确保护REST API端点。
您可以使用例如webpack或任何其他捆绑系统,允许您创建单独的捆绑包,并仅在需要时加载适当的代码块(例如,在成功登录后)。这里有webpack async loading。这个资源将受托管服务器的保护(需要授权用户 - 就像REST API调用一样)。