我一直在研究这个主题但却找不到任何超级相关的东西。我期待使用Polymer创建单页面应用程序。我围绕REST API构建这个,需要身份验证才能查看资源。
我已经完成了API的所有细节,但我似乎无法弄清楚如何处理登录页面。基本上,什么是让用户在不登录应用程序的情况下看到内容的最佳方法?
显然,REST API不允许数据返回客户端,但是如何防止用户进入DevTools并更改一些布尔值并能够浏览所有页面并接收401尝试触发的所有Ajax请求中的错误?
我感谢任何帮助!谢谢!
答案 0 :(得分:2)
您无法阻止用户更改DevTools中的内容。只需在服务器上确保用户无法获取数据,或者无法在未经过身份验证的情况下传递数据。
当用户传递用户名和密码时发出令牌,并且在服务器上仅允许分配给此令牌的用户执行此操作。
参见例如https://stormpath.com/blog/build-secure-user-interfaces-using-jwts/