我目前有一个React-Redux应用程序。
我想在React-Redux 中创建管理员用户。
如果我使用userAdmin创建状态为true或false,用户是否可以访问该状态并更改此值?也就是说,这是一种创建此类访问的安全方法吗?
我正在使用webpack创建一个bundle.js,并且有一个node.js服务器用于提供使用JWT保护的数据。
此外,在react-redux应用程序中创建管理员用户是否有标准或半标准模式?
我对此的看法是:
为管理员用户管理创建单独的应用。
为admin用户创建一个状态,如果该状态为true,则查询serverAPI以获取任何管理操作。但只有当该状态为真时才显示管理功能,例如。删除其他用户,查看用户的详细信息,但如果没有授权的API调用,则不提供该数据。然后,如果状态被秘密更改,则用户只能看到操作,但无法在没有所需授权的情况下访问API。
答案 0 :(得分:1)
tldr:你的想法是正确的
您可以假设用户可以操纵客户端应用程序的状态来升级其权限。但是,如果您的架构正确完成,那么这不应该带来任何有用的好处。
只有管理员才有权访问的数据不应该首先传输给普通用户,只有管理员应该能够做的更改才能被识别管理员用户的JWT接受。
正确的管理是必须在服务器端发生的事情。客户端应用程序只是在UI中反映出来。