也许这是一个愚蠢的问题,但javascript是一个奇怪的事情。我使用spring security来保护我的gwt应用程序,并希望在客户端使用安全角色。这是安全还是可以操纵,以便普通用户突然可以访问管理员部分。
答案 0 :(得分:7)
永远不要相信客户方!因此,每次调用服务器获取数据都应该检查用户是否可以访问该数据,包括查询和存储/删除数据。
答案 1 :(得分:2)
您应该在双方都包含安全性。请记住,安全性永远不应该是“强制”的客户端,但UI应该反映用户的角色(即,您不希望为非管理员的用户显示管理员链接)。您应该在服务层强制执行安全性。如果您要强制执行安全客户端,则不会阻止用户手动构建Web服务调用,但如果在服务层强制执行安全性请求将被拒绝。