我有一个Web应用程序,一旦登录,发送凭据到服务器进行验证 - 并返回,除其他事项外,对于throghout应用不同的UI组件的权限的字典 - 这是用于在前端启用/禁用或显示/隐藏这些组件。最佳实践Apps安全
这当然不能确保在所有 - 任何人打开浏览器的开发者工具控制台可以在飞行中更改这些设置。
我提出这是一个问题,我的团队,并要求提出解决方案。我因此想总结一下我能想到的,而且会很高兴,如果有人可以添加的替代品,我不知道的(特别是如果这是一个最佳实践或通用标准):
- 在服务器返回用户有权查看的完整
html
。 - 使用加密来保护服务器 - 客户端交换。 UI将解密服务器响应,并相应地显示数据。
什么其他选择有没有这个?
我的堆栈是用于UI在C#
服务器侧(作为WCF server
实现)和devextreme(html
+ js
(有一些js
库如knockout
))。
(这个问题发生在所有的应用中,几乎所有的服务器提供的数据,不仅与登录授权)
我不确定这是否是SE网络中的正确站点,请不要http://security.stackexchange.com/适合此类问题更好? – Roberrrt
@Roberrrt:可能是。安全交换是否也涉及设计模式? – Veverke
因为我的安全知识相当薄弱,所以我并不那么活跃,但你的问题不一定是“设计模式”,而是设计中的一种常规模式,我也知道他们在那里也应用这些原则。 – Roberrrt