使用唯一的 Javascript 防止未经授权访问 .html 站点

Question

我是网络开发的初学者。 我只用 HTML、CSS 和 Javascript 创建一个项目。 我的任务是创建登录页面和主页，但用户只有在登录后才能访问主页。 后端是数据库连接器脚本、登录脚本和记录检查用户的脚本。

在用户打开主页之前，脚本会创建一个请求并以这种格式从脚本中获取响应：

{
     "logged": true, 
     "uid": 123456
}

我解析 JSON，如果 logged 是 false 我使用 window.location.replace() 重定向到登录页面。

这种方法是否会阻止在用户未登录时打开主页？

我问是因为客户可以在网络浏览器中修改 Javascript 文件。

我知道使用 location header 在 PHP 中创建它更容易，并且它不能被客户端修改，但我不能用这种方式。

Answer 1

我问是因为客户可以在网络浏览器中修改 Javascript 文件。

不是真的。但是，是的，您所描述的检查很容易在客户端绕过。

规则是这样的：如果用户未经授权和验证，则用户不应该看到的任何内容根本不能发送给客户端，除非提供了验证。因此，服务器对“主页”的请求必须被服务器允许或禁止，并且不可缓存。

通常页面本身并没有受到保护，但您在页面上显示的信息是。例如，页面是脚手架和布局等，但它显示的受保护信息是使用 ajax 或类似方式提供的，并且仅在用户通过身份验证时提供。