security - प्रतिक्रिया देने के लिए पारित भूमिकाएं कैसे सुरक्षित रख सकता हूं?



reactjs server (1)

मेरे पास प्रतिक्रिया करने के लिए भूमिका डेटा पास करने के बारे में एक सवाल है मैं या तो वैश्विक रूप से सर्वर से पास कर सकता हूं, या ग्राहक से एक आराम एपीआई कॉल कर सकता हूं, लेकिन किसी भी तरह से मैं उपयोगकर्ता के लिए अनुमतियों की एक सरणी वापस कर सकता हूं। उदहारण के लिए:

Permissions: ['ALLOW_X', 'ALLOW_Y']

ब्राउज़र में देव उपकरणों को खोलने और ब्रेक-पॉइंट सेट करने और उस सरणी में 'ALLOW_Z' जोड़ने से किसी को क्या रोकना है?

क्या ग्राहक पक्ष को डेटा पास करने का एक अच्छा तरीका है और इसे कम से कम प्रतिरोधी (कम से कम) हो सकता है? मुझे पता है कि मैं कुछ सहेजने से बचने के लिए सर्वर पर अनुमतियों को फिर से जांच सकता हूं, लेकिन व्यवस्थापकीय स्तर के यूआई आइटमों के बारे में जो नियमित उपयोगकर्ताओं को देखने में सक्षम नहीं होना चाहिए? क्या मैं एक अलग पृष्ठ पर उन सभी को डालने और सीमित करने के लिए सीमित हूं?

मुझे कुछ याद आ रहा है यहाँ। विचार? धन्यवाद, जेफ


ब्राउज़र में देव उपकरणों को खोलने और ब्रेक-पॉइंट सेट करने और उस सरणी में 'ALLOW_Z' जोड़ने से किसी को क्या रोकना है?

कुछ भी तो नहीं।

एक बार आपके जावास्क्रिप्ट / डाटा ने आपके सर्वर को छोड़ दिया है, तो आपको यह मानना ​​है कि उपयोगकर्ता द्वारा दूषित और संशोधित किया गया है।

सर्वर पर सभी कथनों का संचालन किया जाना चाहिए

आप आमतौर पर सर्वर के साथ एक सत्र कुंजी बनाए रखेंगे, और आप उस सत्र कुंजी (टोकन के रूप में भी ज्ञात) की जांच कर लेंगे, अभी भी वैध है।

संपादित करें:
यदि उपयोगकर्ताओं को "विशेष व्यवस्थापक अनुभाग" दिखाई दे, तो आपको परवाह नहीं करनी चाहिए, क्योंकि उनकी सभी कार्यक्षमता काम नहीं करती (सभी सर्वर एपीआई कॉल विफल हो जाएंगी, ताकि उपयोगकर्ता कोई भी डेटा हटा, संपादित, या कोई डेटा नहीं बना सके)





client