在 Laravel 中,您可以将对某些 Controller (例如与管理相关的 Controller ,如 Admin/UsersController、Admin/SettingsController 等)的访问限制为特定的用户 session 。因为它是服务器端的,所以除非经过身份验证,否则用户无法窥探此类 Controller 。
对于 AngularJs 来说,代码驻留在浏览器中。因此,任何人都可以查看 JavaScript 源代码,并可能弄清楚应用程序的行为。假设他可能会发现有管理管理相关数据的 Controller 。或者任何人都可能尝试暴力搜索应用程序的 URL 以获取要观察的 javascript 文件。假设他看着 http://myapp.com/AdminSettingsController.js其中经过身份验证的用户应该只能看到或根本不应该看到。
回到主要问题,您如何解决此类问题?
最佳答案
这个问题只有一个解决方案。 仅将 JavaScript 视为用户界面的语言。仅此而已。不要在浏览器中存储任何敏感数据,也不要存储任何敏感逻辑(例如数据库查询)。 无法向客户端隐藏网络流量或源代码。
我通常在客户端创建某种用户对象,其中包含用于解析权限的用户 Angular 色,并且我将权限用于显示控件,例如仅向管理员等显示一些按钮。但是,这只会影响页面的显示,如果用户与该控件交互,则控件依赖于服务器,并且如果用户没有适当的权限服务器也是如此,与控件的交互失败,因此,如果任何有一定知识的人更改客户端上的用户对象并授予他管理员 Angular 色,他只能看到管理员会看到的控件,但他不能执行管理员操作,也不能执行管理员操作。看到任何敏感数据。
关于javascript - 如何在 Laravel 中限制与管理相关的 AngularJs Controller ?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/37495296/