我们有一个具有丰富客户端体系结构的Web应用程序。我们为客户端和java/spring使用React作为后端。
现在问题是登录页面是否应该成为我们的React程序的一部分?众所周知,如果我们这样做,则缺点是:
- UI不受保护,每个人,即使没有任何访问权限的人都可以下载整个UI应用程序。
- 每个人,即使没有访问权限,也必须在登录之前下载整个UI应用程序。
upsides是:
- 当有人弹进来时,页面无需刷新。
- 前端和后端零件可以完全分开,而无需任何共同的会话。
在诸如Gmail,Slack等的大多数已知应用中。
- 前端通常不受保护。有一些潜在的方法可以使制动代码更难,但这将永远是可能的。
- 因为1->您不应将任何敏感数据保留在前端。
- 作为将数据从春季后端传输到反应(或其他任何其他角度,vuejs等(的有担保方法,您可能应该使用JWT或OAUTH2。
- 您可以在前端解码JWT(但只有后端才能验证它是否有效令牌,因此请不要担心(以获取编码的示波器,角色等以使用它们,例如显示Admin仅选项。
- 回答您的问题 - 登录页面绝对可以成为React应用程序的一部分,因为它将发送登录凭据并从后端恢复JWT
- 登录用户时 - 您将随着每个请求将JWT附加在标题中,因此您的弹簧安全性可以检查并授权请求。