1

我有一个带有 Angular 的网站。我用jwt. 我知道我们可以使用 Angular Route Guard阻止用户进入受限路线。

通常在 SPA 中,所有路由 (html) 都是可下载的。只是我们通过响应 403 代码来处理服务器中未经授权的路由。因此,用户可以看到 html bu 无法获取任何数据是安全的。但是在一个特定的项目中,我们甚至不希望用户能够看到管理面板的 html(因为他可以了解结构)

任何想法?我应该使用 Route Guard 的常用场景还是应该只使用一个单独的面板(例如在未知目录中)?

4

1 回答 1

2

您可以使用管理员令牌保护后端 API,因此任何想要获取/发布/删除任何关键数据的用户都需要一个可以让他访问的有效令牌。

永远不要让您的“密钥”或任何身份验证解码数据出现在前面。

您可以添加一个管理员中间件来检查用户是否是管理员(在node.js解码从前端网站发送的令牌之后)。

检查这篇文章它可能会有所帮助。

nodejs 保护 api

于 2019-06-22T17:01:37.833 回答