我是reactjs的新手,我一直在努力了解身份验证令牌是如何保护路由的。在各种教程中,人们在登录用户时从api获得该令牌,然后将其与";isAuthenticated";变量在localStorage中设置为true。然后在路由时,他们检查isAuthenticated是否为true,而不需要任何api调用来验证令牌。这样安全吗?我试图以同样的方式实现授权,只添加一些isAuthorized变量,但这两个变量都不能被篡改,因为react在客户端工作?
当然可以。客户端上的任何内容都完全由用户控制。不存在";客户端授权";。这样的功能(对客户端上某些功能的访问控制(通常是一种用户体验功能,比如为什么向用户显示一些无论如何都不起作用的东西。
所有授权都必须在服务器端完成。
这本质上意味着,在客户端中没有数据供任何人查看的页面结构(视图(通常是可以的,关键是来自后端的数据将被授权,并且只对适当的用户可用。