我目前正在为朋友的足球队创建自定义 CMS。架构如下:
在后端,我有一个与数据库(mongoDB)交互的 API。
在前端,我有一个快速服务器,它使用模板引擎把手为页面提供服务。
目前,我已经设法使用 Passport 和 JWT 对 API 的请求进行身份验证,这对于查询 API 来说很好,登录时我在用户的 cookie 存储中存储了一个具有权限的 JWT(它是静态页面而不是 SPA 所以我无法访问本地/会话存储)。
我的问题是我正在努力如何在客户端实施授权以访问管理面板。我应该在客户端解码 JWT 并读取用户角色,然后如果用户是管理员,则为管理页面提供页面,或者我应该将访问前端管理部分的每个请求发送到 API验证检查然后提供文件。
任何帮助将不胜感激,谢谢。