Насколько я понимаю, JWT может содержать некоторую информацию о роли пользователя, которая должна быть проверена на сервере, например. в scope
, так что пользователь, не имеющий роли, не сможет получить доступ к данным из определенных конечных точек, защищенных этой ролью.Право на основе JWT на стороне клиента
{
"iss": "http://issuer.com",
"exp": 1300819380,
"scopes": ["customer", "supplier", "seller"],
"sub": "[email protected]"
}
Таким образом, данные безопасны. Но скажем, у меня есть панель инструментов, функции которой я хотел бы запретить пользователю просматривать.
Учитывая, что JWT может быть изменен на стороне клиента, как вы собираетесь обеспечить такие страницы в SPA?
Спасибо за проги. Фактически функции панели инструментов, о которой я упоминал, загружаются в одностраничное приложение и не зависят от данных API. Я также хотел бы защитить эти функции. Я понимаю, что сложный атакующий может обойти любые меры на стороне клиента, которые я принимаю, однако я ищу установку, которая защищает от других 99%. – softcode