我目前正在拓宽视野。通常我是一名软件工程师,我专注于系统级代码。一位同事向我介绍了JS和HTML5的乐趣。我有一个非常愉快的经历。
我当前的项目是博客应用程序。我需要一个博客网站,我不想使用Wordpress,这会给我一个非常好的,圆润的Angular框架体验。我已经编写了一个Angular App,但是这个需要一个登录部分。
问题:我需要对未在某些页面上进行身份验证的用户设置限制。这样,即使他们专门在URL中键入该页面,他们仍然会被拒绝访问它的数据。一旦用户通过身份验证,页面将自动显示在列表中,但这不会阻止他们直接尝试URL。
"解决方案":我已经阅读了几篇有关此事的文章。常见的答案是让JS检查if(user.auth){show content} else {block}。然而,从安全角度来看,这种方法让我感到担忧。攻击者不仅可以进入检查编辑器并将user.auth设置为true,然后以这种方式获得对受限页面的访问权限吗?
最终我认为我的问题是在AngularJS应用程序中基于身份验证处理用户限制的最佳,安全的约定是什么?这是一项我需要卸载到后端语言并使用该后端语言向前推送页面数据的任务吗?
非常感谢, 安德鲁