React 私有路由真的安全吗?

【问题标题】:Are React Private Routes really secure?React 私有路由真的安全吗?
【发布时间】:2020-06-26 08:16:42
【问题描述】:

我想创建一个使用 React 作为前端的自定义博客,并带有一个管理面板来编写文章等。

我一直在研究这个,我发现如果用户(管理员)通过后端身份验证,我可以将一些路由设为私有,“myblog.com/admin”以访问仪表板等。

但是,无论是否通过身份验证,该仪表板仍将位于客户端浏览器中。如果黑客或任何修改 JavaScript 的人,它可以跳过身份验证和访问仪表板并通过 API 写一篇文章,不是吗?也许解决方案是,每次管理员使用 API 时,我都会验证谁在服务器端发送它,或者我可能迷失了它应该如何工作。

我是网络开发新手。

【问题讨论】:

    标签: node.js reactjs authentication react-router


    【解决方案1】:

    不!它不安全,您使用的是客户端代码,每个人都可以看到/修改您的客户端代码。

    您需要在您的 api 上处理所有管理员请求并检查用户是否真的是管理员。

    或者将您的管理站点专用于特殊的 url/服务器。

    再一次: 客户端验证很好,但您需要在 API 上进行验证。

    【讨论】:

    • 所以,我可能会按照我的想法去做,使用 react 私有路由,但总是在 API 上验证管理员。一切都应该没问题,或者我还有什么需要注意的吗?
    • @FernandoEP 正如你所说。也许......我可以编辑你的源代码,我可以看到你可以在管理部分为用户设置的选项(当然我不能改变它 - 因为你在 API 上处理这个,但我可以看到它)。
    猜你喜欢
    • 2013-11-20
    • 2012-03-01
    • 2020-04-30
    • 1970-01-01
    • 2021-01-01
    • 2021-06-04
    • 2020-08-13
    • 2022-08-12
    • 2012-06-12
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode