我目前正在开发一个应用程序,它使用ASP Web Api作为后端,Angular4作为前端。目前我正在为前端创建一个管理组件,但这对我来说是错误的。熟悉开发人员工具的用户可以简单地检查可用路由的源代码。只需稍加修补,他就可以在前端查看管理页面。
我知道安全在后端最重要,而且我非常肯定该应用程序是安全的,但我无法相信这样做是保持管理员视图如此开放的良好做法。
我有兴趣听取您对此事的意见,以及您是否有任何我尚未想到的建议。
答案 0 :(得分:0)
我的观点是,即使用户了解开发工具的方式,他也无法访问管理页面。
首先,您的代码缩小了。他需要非常好才能修改它。
其次,即使他取得了成功,刷新页面也会让他失去所有修改。
第三,(我假设你的管理员观点正在进行http调用)你应该保护你的终端只允许经过验证的管理员能够进行http调用。这意味着,如果用户可以看到管理页面,则无论他做什么,他都无法更改您的数据。
我希望这可以帮助你!