我目前正在制作一个用户必须登录谷歌帐户才能访问的平台。我遵循了一个Auth0教程,该教程使用一个简单的v-if来查看用户是否经过身份验证。但是,即使用户没有登录,他仍然可以查看编译后的.js文件并搜索关键字,如apiKey和api_key。
如何防止这种情况发生,并且只将源代码提供给真正经过身份验证的用户?这通常是怎么做的?
私有的东西通常通过API从后端获取。因此,你发布的代码一直都是公开的(它是客户端应用程序)。
v-if
将确保模板是否匹配,无论用户是否经过身份验证。但是在之前不会发送敏感数据您的用户已经过身份验证。所以,所有的工作都是在后端完成的:确保令牌是有效的,然后发送数据。