【发布时间】:2017-01-04 01:51:24
【问题描述】:
我正在构建一个包含一组用户类型的应用程序。我有一个 .Net MVC 5 Web Api Web 服务和一个 angularjs SPA。我想让我的 SPA 显示页面与登录的用户类型相关。我正在使用不记名令牌进行身份验证,然后将其存储在 localStorage 中。
我曾想过制作 web api,返回带有用户声明和角色的令牌,然后我可以使用此信息来决定向用户显示哪些页面,但是我担心用户可以轻松更改此信息。
您能否告诉我如何在不引入安全漏洞的情况下实现这一目标。
提前致谢。
【问题讨论】:
-
这是单次下载的易用性和个人保护之间的持久战。您可以随 ACL 负载一起发送其他页面,或者允许用户巧妙地验证在服务器端执行的操作,防止不适当的查看或更新。
标签: angularjs asp.net-mvc-5 asp.net-web-api2 asp.net-identity-2