我一直在尝试学习一些C#,并决定尝试Blazor应用程序。我已经建立了很长时间的网络应用程序,但不是在微软的世界。在阅读blazor文档时,客户端的blazor应用程序似乎无法通过角色来保护,因为用户可以简单地更改任何js参数并任意访问页面。然而,我错误地认为,就通过OIDC或其他身份验证流对用户进行身份验证而言,您仍然可以保护使用客户端blazor构建的基本应用程序吗?
换言之,听起来一个真正安全的网络应用程序最好使用客户端blazor设置,但客户端是否适用于intranet场景,在该场景中,我们只关心确保用户能够登录,但不太关心他们在登录后会做什么?
我在这里有一个repo,它通过Blazor WASM启用角色。此提交显示了我对模板所做的更改。使用CustomUserFactory转换字符串数组中的角色非常重要。