1
我目前正在使用flux和react做一個nodejs應用程序。特別通用。對於用戶身份驗證,我使用passport.js,它簡化了對用戶進行身份驗證,創建會話和驗證會話的過程。一旦會話被驗證,我的服務器就會發回一個用戶對象。使用Flux/React應用程序存儲身份驗證詳細信息
{ _id: foo, email: [email protected] }
然後我的身份驗證存儲具有IsLoggedIn方法來返回商店是否有用戶。但是我意識到這是不安全的,就好像商店上的數據被操縱一樣,即使用戶沒有真正登錄,商店也會返回isLoggedIn。我目前的處理方式是當用戶調用需要認證的apis時,我會在api調用中檢查認證。所以基本上,如果惡意用戶使用flux存儲數據,他們可能會看到針對登錄用戶/不同組件的操作,但他們無法真正修改任何內容。我打算爲用戶管理員權限執行相同的操作。我的問題是,是否有更好的方法來處理這個問題? (即不將數據暴露給客戶端的更好方式)