我的 Angular (版本5)应用程序用JWT令牌和Authguards确保。从理论上讲,用户能够使用Chromes开发人员工具来操纵形式数据,然后再将汇总表单值发送到服务器。如今是否有新的好实践以防止在客户端端,因此我可以假设可以信任使用HTTPS发送的数据?
这个问题解决了问题:建议在那里结合使用验证的服务器端会话。但是,在一个宁静的体系结构中,没有会话了,我们无法通过使用服务器端上的验证来阻止所有操纵尝试的组合。因此,我正在寻找一种方便的客户端解决方案,这使得对常规用户不舒服,可以用开发人员工具来操纵。我也知道,不能有100%信任的客户实现。但是使操作尝试复杂化将是不错的权衡。
考虑创建httpclient互动器(请参阅https://angular.io/guide/http),该http请求将自动调用,其中将自动调用(包括由表格启动的)。在这些拦截器中,您可以实施一些业务逻辑,以确保用户没有操纵数据。