我最近开始与React合作。但是,经过我的研究,仍然存在一个问题。
JavaScript在用户计算机上运行。如果我们将客户端站点路由与react(例如react-router)和某种身份验证系统(例如OAuth2 over Keycloak)一起使用基于角色的访问控制。在简单的环境中,我们为特定用户提供了一系列角色。当我们检查网站的角色(例如/ secure)时,是什么阻止用户打开开发工具来更改数组内容甚至if语句本身?我知道对后端的请求需要在后端进行验证,但这足够吗?保护React应用的功能/站点的最佳实践是什么?
先谢谢您。