【发布时间】:2017-11-25 00:24:24
【问题描述】:
我整天都在寻找一些答案,但找不到任何对我有帮助的东西。
我目前正在开发一个使用 React 和 Rails API 开发的平台。我的 Rails API 使用 devise-token 来处理安全和身份验证 (https://github.com/lynndylanhurley/devise_token_auth)。 我没有使用 React-Redux。
React 前端有公共页面(例如登录)和私有页面,其中需要登录(有效的访问令牌)。
我将 access-token、uid 和 client 存储在会话存储中(这 3 个参数来自登录响应),并且 access-token 在每个请求的标头中发送。
这就是我的想法:
- 用户登录后,将响应存储在会话存储中以及 javascript 对象中。除非用户刷新页面或关闭并重新打开它,否则该对象将在那里。
- 每次用户导航到私有页面时,在 react 路由器返回组件之前,我都会检查我的 LoggedInUser javascript 对象是否有内容。如果它没有任何内容,我将使用会话存储内容调用“validate_token”端点,因为这意味着它是一个返回用户。如果有效,请将其保存在名为“LoggedInUser”的 javascript 对象中。如果不是,请重定向到登录页面。
- 如果我的 LoggedInUser 对象或会话存储中没有任何内容,我将重定向到登录。
我的问题是:
- 如果我们总是在谈论 javascript 变量和 ajax 调用(客户端),我怎样才能使我的私人页面安全?未经授权的用户可以调试我的 javascript 文件,在“LoggedInUser”对象中创建内容,并查看我的私人页面。此人将看不到任何内容,因为所有使用无效令牌的请求都将返回 401,但他们仍然可以看到我的 HTML 或静态文件,以及对 API 的现有请求。
非常感谢!
【问题讨论】:
标签: javascript reactjs security jwt rails-api