我正在使用JWT作为身份验证方法在MEAN堆栈中开发一个简单的个人博客引擎。我想实现一个只能由Admin用户访问的前端管理面板页面。我已经实现了一个简单的角色系统,我可以在服务器端(在数据库中)和客户端(在jwt令牌中保存用户的“角色”属性)中检索用户的角色。
问题是:如何实现对管理页面的安全访问并维护单页面应用程序结构?
我可以使用angular ui-route简单地实现它,检查jwt令牌中的角色,但是用户可以简单地利用js脚本中的本地修改,未经授权访问管理页面。
或者我可以实现该服务器端,只有在用户拥有正确的授权时才能提供管理页面;这绝对是更安全的,但我会丢失单页结构,因为我必须发送不同的页面。
提前感谢您提供的任何帮助/建议/答案