javascript - 如何根据角色权限生成React客户端库?

标签 javascript reactjs

我正在为学校项目构建 CMS。需要根据登录用户与其关联的权限隐藏/显示某些功能。我希望能够在服务器端整理显示的功能,以便用户无法看到 client.js 文件中禁用的功能。

实现这一目标的最佳方法是什么?

最佳答案

您想要完成的任务的复杂性在理论上是很简单的,但对于国防部或国防承包商应用程序来说甚至不是一个高度关注的问题。

发送或不发送端点并不能真正保护您免受太多侵害。如果用户正在检查您的 JavaScript 并试图进行恶意操作,他们可能知道如何使用补丁检查器来找出您试图隐藏的端点是否存在。

尝试构建 client.js 的动态版本及其维护所增加的复杂性远远超过隐藏端点的 yield 。保护端点的最佳方法是确保端点执行授权检查,并在用户无权执行该操作时返回 403。

就应用程序安全性而言,这远远低于其他主要的应用程序强化问题,例如 XSS 和 CSRF 以及服务器上正确的服务器验证和授权检查。有关实际应用程序安全问题和漏洞的完整列表,我建议阅读 OWASP

关于javascript - 如何根据角色权限生成React客户端库?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/40345024/

相关文章:

javascript - 使用钛合金的翻转动画的错误

javascript - 找不到模块 - 相对路径

javascript - RxJS:将第一个源排队,直到第二个源满足谓词

javascript - 将回调传递给深度嵌套函数的最佳实践

javascript - 为什么提交输入时 React 不向控制台输出任何内容?

reactjs - 在这种情况下,setstate 会在对象映射之后运行吗?

javascript - 在其他函数中自动调用函数

javascript - React 路由器/React 查询不会取消/在导航上发出请求 - React/TypeScript

javascript - 收到受控输入警告,但我不确定出了什么问题

javascript - 带有管理部分的 Reactjs 网站