我在 JavaScript 编程或 Angular 应用程序开发方面的经验并不多,但我的总体理解是,当 JavaScript 到达客户端时,它是可以被篡改的。
我在 Angular 应用程序中遇到了一些基于角色的授权的示例实现,其中用户角色在成功登录时发送到客户端(即使他们使用的是 JWT,它应该是“自包含的”)。然后将用户角色值保存在客户端(本地存储或变量),并在canActivate路由保护中使用。
(我知道其中使用的值canActivate将仅决定是否激活路由并呈现有问题的组件,并且当组件代码尝试获取数据时,真正的角色验证发生在服务器端。)
我的问题是,这些客户端存储的值会被篡改,还是 Angular 有能力提供任何代码安全性?
提前致谢。