我正在尝试使用Dojo开发一个纯JavaScript的Web应用程序.我面临的问题是限制对部分应用程序的访问.经过身份验证的用户应该能够访问所有内容,而未经过身份验证的用户应该只能访问登录屏幕.
问题是没有(我知道)将阻止用户打开浏览器javascript终端并输入类似于:app.displayRestrictedContent();从而获得对经过身份验证的用户的屏幕的访问权限.
我已经实现了基于ajax的登录; 所有ajax调用都通过会话进行保护.因此,虽然未经过身份验证的用户可以加载受限制的屏幕,但他们无法为其获取数据.但是,这个屏幕可以随意访问似乎是错误的.
我想做不可能的事吗?编写代码似乎很愚蠢,例如if (user.auth) app.displayRestrictedContent();它很容易被绕过.这让我相信我错过了对其他人来说相当明显的东西.我在基于纯JavaScript的应用程序和身份验证模型上找不到太多信息.