在我说别的之前:是的,我知道需要在服务器端进行授权。即便如此,客户端应用程序仍然必须隐藏不适用于登录用户的 GUI 元素。
话虽如此,问题来了:是否有任何基于角色的声明性授权框架用于丰富的基于浏览器的 JavaScript Web 应用程序?
背景:对于基于浏览器的 JavaScript Web 应用程序(GWT、ExtJS 等),通常不需要动态的服务器端视图生成,因为整个应用程序可以作为静态文件下载,并且所有视图转换都在浏览器中进行。因此,实现基于角色的安全性要么需要在用户登录并加载应用程序后进行动态 GUI 定制,要么在登录后在服务器端动态生成应用程序文件,然后再将任何内容下载到客户端(也可以构建和缓存) )。这个 SO 问题讨论了这些方法:How to use Ext JS for role based application
谢谢!