我有一个Angular网站。我用GROUP BY实现了auth。我知道我们可以防止用户使用Angular Route Guard 进入受限路线。
通常在SPA中,所有路由(html)均可下载。只是我们通过响应403代码来处理服务器中的未授权路由。因此,用户可以看到html bu不能获取任何数据是安全的。但是在一个特定的项目中,我们甚至不希望用户能够看到管理面板的html(因为他可以了解结构)
有什么主意吗?我应该在Route Guard中使用通常的方案还是应该有一个单独的面板(例如在未知目录中)?
答案 0 :(得分:2)
您可以使用管理员令牌保护后端API的安全,因此任何想要获取/发布/删除重要数据的用户都需要一个可以让他访问的有效令牌。
切勿让您的“秘密密钥”或任何身份验证解码数据出现在前面。
在node.js中,您可以添加一个管理员中间件,以检查用户是否为管理员(在解码从前端网站发送的令牌后)。
选中此article可能会有帮助。