クライアント側のJWTロールベースの認証

Question

JWTには、サーバー上で検証されるユーザーのロールに関する情報が含まれることがあります。 scopeにあります。非ロールユーザーは、そのロールに保護されている特定のエンドポイントからのデータにアクセスできなくなります。

{ 
    "iss": "http://issuer.com", 
    "exp": 1300819380, 
    "scopes": ["customer", "supplier", "seller"], 
    "sub": "user@issuer.com" 
} 

したがって、データは安全です。しかし、私がダッシュボードを持っているとしましょう。ユーザーが表示しないようにする機能があります。

JWTがクライアント側で改ざんされる可能性があることを考慮すると、SPAでこのようなページをどのように確保するのですか？

Answer 1

上記のように、クライアント側のコードは改ざんされる可能性があるため、ユーザーのアクセスを制限するロジックの安全な場所ではありません。

ダッシュボードの機能が実際にAPIによって提供される機能（たとえば、GETリクエストによって取得されたデータの表示、POST、PUT、DELETEリクエストによるデータの操作など）であると仮定すると、代わりにAPIエンドポイントを保護できます。したがって、悪意のあるユーザーがクライアント側のコードを改ざんしても、保護されたデータを取得または変更することはありません。

しかし、SPAでページを保護する方法に関する具体的な質問には、そのような方法はありません。たとえコードが難読化されていても、洗練されたユーザーが任意に解剖して変更することができます。