我有一个angularjs应用程序,它位于一个独立的域而不是我的后端,来自我后端的用户都有角色和权限,允许他们访问我的前端的各个区域和元素。
之前,我只是存储到一个cookie,并通过使用角度服务和诸如此类的东西进行检查,很酷。
现在,权限数据已经达到了它们太大而无法存储在浏览器中的cookie中的程度。而且我因为害怕用户篡改而避免使用Localstorage。
问题:
如何以安全且不需要API调用的方式存储用户敏感数据(或任何敏感,真正)对客户端cookie过大的敏感数据时间到了吗?
我不想在每次更改页面时给家里打电话,以便在需要时直接从服务器获取此数据,因为我觉得这对网站的速度和流量非常不利,更不用说这个需要发生的频率对我的应用来说是荒谬的。
请记住,在执行任何操作之前,我会对后端进行适当的权限检查,但我更关心用户篡改他们的权限,以显示之前在前端删除的某些元素。
您的解决方案或建议是什么?
答案 0 :(得分:1)
如果它最终出现在用户的计算机上,无论它是在cookie中,本地存储中,URL中,浏览器的缓存中,还是用户计算机上的任何其他位置,都假设用户可以看到它并且混乱用它。 (您可以加密它,但如果您的客户端逻辑知道如何解密它,那么您将回到第一步。)
您可以做的最好的就是您所描述的 - 确保服务器仅执行授权操作,并且永远不会信任用户所说的内容。