1

我在 JavaScript 编程或 Angular 应用程序开发方面的经验并不多,但我的总体理解是,当 JavaScript 到达客户端时,它是可以被篡改的。

我在 Angular 应用程序中遇到了一些基于角色的授权的示例实现,其中用户角色在成功登录时发送到客户端(即使他们使用的是 JWT,它应该是“自包含的”)。然后将用户角色值保存在客户端(本地存储或变量),并在canActivate路由保护中使用。

(我知道其中使用的值canActivate将仅决定是否激活路由并呈现有问题的组件,并且当组件代码尝试获取数据时,真正的角色验证发生在服务器端。)

我的问题是,这些客户端存储的值会被篡改,还是 Angular 有能力提供任何代码安全性?

提前致谢。

4

1 回答 1

1

是的。

在浏览器中运行的所有代码以及所有数据都受用户操纵。

您甚至不知道它是运行代码的浏览器,它可能是专门为颠覆您的应用程序而设计的其他工具。

于 2019-09-28T13:11:53.587 回答