1
我了解JWT可以包含有关用户在服务器上验证的角色的一些信息,例如,在scope
中,使得非角色用户将不能访问来自保护到该角色的特定端点的数据。客户端JWT基于角色的授权
{
"iss": "http://issuer.com",
"exp": 1300819380,
"scopes": ["customer", "supplier", "seller"],
"sub": "[email protected]"
}
所以数据是安全的。但是,让我们说我有一个仪表板,其中的功能,我想阻止用户查看。
考虑到智威汤逊可能会篡改客户端,你如何去保护这样的网页在SPA?
非常感谢。实际上,我提到的仪表板的功能都是在单页面应用程序中加载的,并且独立于API数据。我也想保护这些功能。我知道一个复杂的攻击者可以绕过我采取的任何客户端措施,但是我正在寻找一种防止其他99%的措施。 – softcode