tho*_*uts 8 security node.js express angularjs passport.js
我想知道AngularJS中最好的方法是保护管理页面,即普通用户不应该看到的页面.显然,会有后端身份验证,但由于AngularJS应用程序是客户端,人们理论上仍然可以查看路由并直接转到这些URL并查看管理页面.
我使用Express,PassportJS和MongoDB(Mongoose)作为我的后端.当然,他们无法与管理页面进行交互,因为在创建,删除时都有服务器端身份验证......但我更倾向于甚至不向用户提供页面,如果他们没有适当的访问.由于该应用程序完全是客户端JS,我认为这是不可能的,因为人们可以只修改路由和诸如此类的东西.最好的方法是什么?感谢您的任何意见!
为什么您“更愿意”不向非管理员用户提供这些页面?除了你应该阻止人们看到他们“不应该”看到的东西的本能之外,你是否有真正的理由关心这个问题?
如果您的安全配置正确,那么非管理员用户将无法访问管理数据或执行管理操作。这就是您应该关注的,而不是发明复杂的方法来阻止他们看到他们无论如何都无法使用的管理屏幕。任何花在这上面的时间基本上都是浪费时间,你应该把它花在更重要的事情上。