Ich verstehe, dass ein JWT einige Informationen über die Rolle des Benutzers enthalten kann, die auf dem Server verifiziert werden soll, z. in scope
, so dass ein Benutzer, der keine Rolle spielt, nicht auf Daten von bestimmten Endpunkten zugreifen kann, die für diese Rolle gesichert sind.Client-seitige JWT-rollenbasierte Autorisierung
{
"iss": "http://issuer.com",
"exp": 1300819380,
"scopes": ["customer", "supplier", "seller"],
"sub": "[email protected]"
}
So sind die Daten sicher. Nehmen wir an, ich habe ein Dashboard, dessen Funktionen ich einem Benutzer nicht anzeigen möchte.
In Anbetracht der JWT kann manipuliert werden mit Client-Seite, wie gehen Sie über die Sicherung solcher Seiten in einem SPA?
Danke für die Inisght. Tatsächlich sind die Funktionen des Dashboards, die ich erwähnt habe, in der Single-Page-App geladen und sind unabhängig von API-Daten. Ich möchte diese Funktionen auch schützen. Ich verstehe, dass ein hoch entwickelter Angreifer alle clientseitigen Maßnahmen umgehen kann, die ich anwende, aber ich suche nach einem Setup, das vor den anderen 99% schützt. – softcode