我正在尝试学习JavaScript中Web应用程序的开发,为此我开发了一个简单的时间跟踪应用程序。我正在用ExtJS开发这个动态创建UI。RIA中基于角色的JavaScript安全
这将允许员工提交他们花费在不同项目上的时间,并允许经理向项目添加项目等等。
一旦用户登录,我确定他们的角色,并提供适当的UI(通过JavaScript)。
我想知道做这件事的最好和最安全的方法是什么? (我当然在服务器端检查授权,以便没有人可以通过仅通过http get/post调用我的PHP服务进行更改)
我从禁止非授权人的角度询问,甚至通过摆弄JavaScript(例如从FireBug控制台)来查看非授权用户界面。
我正在考虑创建一个服务,它将通过JSONP返回适当的脚本以创建适当的UI。这对我来说感觉很不错,所以我想知道是否有更好的方法。
该问题可能过于笼统,无法得到合理的答案。你永远无法确定没有人为自己构建管理用户界面。最常见的做法是后端拥有一切安全性,前端是静态的,如果有人想下载他不能使用的UI,那么不用担心。 – naugtur 2013-02-14 08:29:46