Право на основе JWT на стороне клиента

Question

Насколько я понимаю, JWT может содержать некоторую информацию о роли пользователя, которая должна быть проверена на сервере, например. в scope, так что пользователь, не имеющий роли, не сможет получить доступ к данным из определенных конечных точек, защищенных этой ролью.

{ 
    "iss": "http://issuer.com", 
    "exp": 1300819380, 
    "scopes": ["customer", "supplier", "seller"], 
    "sub": "user@issuer.com" 
} 

Таким образом, данные безопасны. Но скажем, у меня есть панель инструментов, функции которой я хотел бы запретить пользователю просматривать.

Учитывая, что JWT может быть изменен на стороне клиента, как вы собираетесь обеспечить такие страницы в SPA?

Answer 1

Как вы отметили, код на стороне клиента может быть изменен, и поэтому это не безопасное место для логики, которое ограничивает доступ пользователя.

Предполагая, что функции панели управления на самом деле являются возможностями, предоставляемыми API (например, просмотр данных, полученных через запрос GET, или управление данными через запрос POST, PUT, DELETE), вы можете защитить эти конечные точки API. Поэтому, даже если злоумышленник нарушил код на стороне клиента, они не получат или не изменят защищенные данные.

Но к вашему конкретному вопросу о том, как защитить страницы в SPA, нет такого пути. Даже если код запутался, все же все еще существует для того, чтобы сложный пользователь мог разбирать и изменять произвольно.