私は、一連のユーザータイプでアプリケーションを構築しています。私は.Net MVC 5 Web API Webサービスとangularjs SPAを持っています。私はログインしたユーザタイプに関連した私のSPA表示ページを持っていたいと思います。私はベアラトークンで認証してから、私はlocalStorageに保管します。Web ApiからAngularJsクライアントへのアクセス許可を返す
私はWeb APIを作成し、ユーザーの主張と役割をトークンに戻すことを考えていましたが、この情報を使用してユーザーに表示するページを決定できますが、ユーザーはこの情報を簡単に変更できます。
セキュリティエクスプロイトを導入せずにこれを達成する方法を教えてください。
ありがとうございます。
これは、1回のダウンロードと個人の保護の容易さの間で絶え間ない戦いです。 ACLペイロードと一緒に追加のページを送ったり、ユーザーがサーバー側で行われた操作を巧妙に検証して不適切な表示や更新を防ぐことができます。 –