我有一个Web应用程序,在登录后,将凭据发送到服务器进行验证 - 并返回(除其他外)与应用程序不同的UI组件的权限字典 - 用于启用/禁用或在前端显示/隐藏这些组件。
当然,这根本不安全 - 任何打开浏览器开发人员工具控制台的人都可以动态更改这些设置。
我把这个问题提到了我的团队,并被要求提出解决方案。因此,我试图总结一下我能想到的内容,如果有人能够添加我不知道的替代品(特别是如果这是最佳实践或通用标准),我会很高兴:
html。还有其他替代方案吗?
我的堆栈是C#中的服务器端(实现为WCF server)和用户界面的devextreme(html + js(带有js个库例如knockout))。
(这个问题贯穿所有应用程序,几乎所有服务器提供的服务数据,不仅仅是登录授权)
答案 0 :(得分:0)
替代方案是服务器端的控制安全性。因此,不会为前端启用用户禁用的操作。
答案 1 :(得分:-1)
我建议你在服务器上创建一个数据库,让你的应用程序形成一个sql查询,然后服务器将发回一个链接到查询的数据。 确保清理所有数据。