我目前正在试验nuxtjs和验证用户,这似乎运行得很好。但我对需要身份验证的视图的内容有安全顾虑。
我想从他们的网站上解释一下我的考试问题:https://nuxtjs.org/examples/auth-routes/
转到示例应用程序中的/secret路由,我得到了一个非常错误的页面,表明我没有通过身份验证,这很好,但我可以在chrome中的开发控制台中的一个站点脚本中搜索字符串"Super secret page",以查找所谓的"Super secret page"的内容,这似乎根本不是很秘密。
澄清一下:我希望未经身份验证的用户不能访问身份验证路由的内容,就像在经典的MPAs 中一样
我在这里放了一张图片,这样可以很容易地理解我的意思。
在开发控制台中搜索内容
身份验证的一个好方法是在用户登录后为其创建一个JWT。每当他导航到仪表板时,他都会通过RESTApi加载内容,并使用Api上的令牌进行身份验证,以检索一些内容。
例如,如果有人访问了秘密页面,他就不会看到任何内容,因为他没有从数据库中检索一些数据的令牌。