我有一个处理公共和私人内容的Backbone应用程序。
公开=> 登录,注册,新闻等
私密=> 聊天,其他用户特定信息。
为了保护整个应用程序,我在node.js中有一个基于会话的身份验证机制。这种机制可以保护后端-api。现在问题是如何保护前端。
我的一个想法是将前端拆分为公共和私有,服务器决定是否授予对私有资产的访问权限。
还有哪些其他前端安全概念?
使其更具体: 我想检查客户端是否用户进行了身份验证,我想限制将require-js模块加载到未经身份验证的人员(以节省带阻)
答案 0 :(得分:1)
您的服务器应提供API以检查当前用户(可能通过其Cookie)是否经过身份验证。
在骨干网中,在您的路线/导航上,您可以检查您的用户是否经过身份验证,然后执行代码(可能在验证后调用requireJS模块)。
据我所知,没有骨干的东西有用户状态的概念。你可以实现一个setTimeout循环来从你的服务器请求auth状态,然后在它之上实现Backbone.Events以在用户没有authed时发出一个事件,你的骨干应用程序可以监听,然后触发渲染登录视图,或将用户路由到登录页面。
我主要使用couchdb作为我的后端,它有一个$ .couch.session函数,让我知道当前用户的auth状态。您很可能需要实现自己的会话函数,该函数挂钩到您的后端框架。