假设我使用Vue,Angular或React Whome广泛支持海军后卫。最好在呈现视图之前在导航卫士中检查用户尝试访问的路由的身份验证,还是继续进行并加载视图并在进行的每个ajax调用中检查身份验证是否更好。还是同时采取这两种措施以防患于未然?当前,用户可以在路由参数中输入其他帐户ID,它将加载给定页面的帐户,但不会加载其数据。我觉得这很容易在某个时候发生错误,并且开始怀疑要实现一个全局导航卫士,该卫士将在每次渲染之前进行此检查,但我也担心这样做会消除单页应用程序的感觉每个页面加载之前等待一个身份验证。
只要对ajax调用都进行了充分的权限检查,那么从技术上讲,您应该可以为没有数据的其他帐户提供html服务。我目前正在处理一个项目,其中html和后端位于不同的服务器上,而我们仅在对后端服务器的调用上使用身份验证。但是,对该网站的访问非常有限,因此我们几乎不可能吸引任何用户。
我要说必须对ajax调用进行身份验证-仅对路由进行身份验证非常危险-因此问题就变成了对路由和ajax调用都进行身份验证还是仅对ajax调用进行身份验证。从那开始,我想说的只是您想要有多安全的问题。不对路由进行身份验证可能会使您向监听用户敞开大门,他们可能会试图找出存在哪些帐户和类似的东西,并且如果您不小心在身份验证中留下了漏洞,则可能会敞开大门。仅对ajax进行身份验证确实应该是安全的,但是如果您想特别安全,则可以同时使用两者。再说一次,如果您想超级安全,则可能不应该在URL中输入帐户ID或信息。
本文收集自互联网,转载请注明来源。
如有侵权,请联系 [email protected] 删除。
我来说两句