我正在开发一个需要用户身份验证的应用程序,如果你想要显示某些页面...我有点担心让角度2守卫处理所有权限,我应该在后端添加一些验证说明如果用户可以访问或不能访问给定的URL?有没有办法让前端的某个人能够将javascript代码注入我的页面,并通过让canActivate后卫返回true来访问禁止的上下文?
答案 0 :(得分:1)
我应该在后端添加一些验证,说明用户是否能够访问给定的URL?
是,您必须为用户提供角色,并将其发送给客户,以便应用在本地决定是否可以投放此网址。 但您必须在服务器端保留此角色/用户关联,因为有人可以编辑请求。
如果您的关联表示用户已获得授权,您的服务器将仅发送数据。
有没有办法让前端的某个人能够将javascript代码注入我的页面,并通过让canActivate后卫返回true来访问禁止的上下文?
当然,但即使不可能,您也必须永远信任客户请求。
只信任您的服务器端信息,并将其与客户端请求进行比较。