So habe ich versucht, in einer SPA-App Best Practices herauszufinden, wie man Autorisierung, nicht Authentifizierung, angehen kann.Autorisierung in einer SPA oder Client-Seite App
Angenommen, ich habe eine Client-Seite MVC (eckig, vuejs, etc ..) mit einem API-Backend, wie verwalten wir die Verwendung von Berechtigungen für die App?
Zum Beispiel können ein Benutzer und ein Manager beide zugreifen, aber einer hat mehr Zugriff (Funktionen in einer Ansicht) als der andere. Wenn sie beide dieselbe Benutzeroberfläche auf der Client-Seite verwenden, wie schützen und rendern Sie die richtige Ansicht entsprechend ihrem Zugriff? Es gibt die Möglichkeit, eine Liste ihrer Rollen/Ansprüche zu erhalten und basierend darauf festzulegen, was auf der Client-Seite gerendert werden soll, aber da dies auf JS basiert, kann es leicht umgangen werden.
Es klingt für mich, dass eine Client-Seite MVC-App möglicherweise nicht die richtige Lösung und eine SSR-App ist mehr dafür geeignet. Wenn das der Fall ist, wie wäre es mit dem mobilen Fall? Wie löst man das gleiche Problem für das Handy, ohne eine eigene native App entwickeln zu müssen?
Eine andere Frage: Wenn Sie eine Client-seitige App erstellen, wie können Autorisierungsregeln am besten nachverfolgt werden? Holst du sie alle auf einmal, speichere sie lokal oder du meldest einen API-Aufruf, um nach jeder Regel zu suchen? Best Practices aus einer Sicherheits- und Effizienz-Punkte? – mghz