我正在使用vue js / vuex和Laravel后端构建一个单页应用程序,我需要用户具有不同的角色。我正在后端进行身份验证,并且使用jwt令牌进行API调用,因此我担心我们将允许未经适当权限的用户执行CRUD操作。我需要具备的能力是让vue知道用户的角色并保持无状态而不会被篡改。
我正在将vuex-persistedstate与js-cookie一起使用,并且可以工作,但cookie是纯文本,如果我更改了cookie中的“角色”,则刷新页面vuex将使用新值。显然,数据将来自API,因此,当发送的令牌用于角色=用户的用户,而角色仅限于角色= admin的用户时,它将返回401。如果他们真的不会得到,或者也无法更改他们不允许的任何数据,只需让“骇客”用户做他们会做的事情?