我想提高web应用程序的安全性,并开始为Angular寻找实际的安全概念>=10.
所以我来到HTTPOnly饼干,这似乎是最先进的;标准";JWT代币,并从JWT中提取道具,如iat、exp和我的数据,并在此基础上构建相关的防护。
但是,如果我理解它是正确的,如这里所述,HTTP只有堆栈溢出问题,cookie不能在客户端访问。
所以我想问你的问题是:
我如何在客户端建立一个基于角色的保护,而不访问cookie,也不重复通过请求头发送jwt令牌的工作。
提前感谢您的评论!顺致敬意,Ragitagha
更新:关于cookie和jwt的相关但不完全相同的讨论正在这里运行:到其他相关讨论
但仍然是一个";最佳实践";我不见了!
通常,您不能忽略后端。应该在另一端实现一些访问规则,这样只有授权用户才能获得所需的访问权限。问题是,任何用户都可以轻松地更新本地存储或redux状态,因此客户端将受到损害。