【发布时间】:2016-11-24 09:01:58
【问题描述】:
我有一个 Web 应用程序,在登录时,它会发送用于服务器验证的凭据 - 并通过应用程序返回不同 UI 组件的权限字典等 - 用于启用/禁用或显示/将这些组件隐藏在前端。
当然,这根本不安全 - 任何打开浏览器的开发者工具控制台的人都可以随时更改这些设置。
我将此作为一个问题向我的团队提出,并被要求提出解决方案。因此,我试图总结我的想法,如果有人能添加我不知道的替代方案(特别是如果这是最佳实践或通用标准),我会很高兴:
- 让服务器返回用户有权查看的完整
html。 - 使用加密保护服务器-客户端交换。 UI 将解密服务器响应,并相应地显示数据。
还有什么其他的选择吗?
我的堆栈是服务器端C#(实现为WCF server)和DevExtreme 用于UI(html + js(带有一些js 库,例如knockout))。
(这个问题发生在所有应用程序中,几乎所有服务器提供的数据中,不仅是登录授权)
【问题讨论】:
-
我不确定这是否是 SE 网络中的正确站点,security.stackexchange.com 不是更适合这类问题吗?
-
@Roberrrt:可能是。安全交换是否也处理设计模式?
-
我不太活跃,因为我对安全性的了解相当薄弱,但您的问题不一定是
design-pattern,而是设计中的常规模式,我知道他们应用了这些原则也有。 -
你可能是对的,我可能需要把它移到那里。让我们稍微看看其他反应是否证实了这一点。谢谢
-
@Roberrrt 我宁愿祝你好运:)
标签: design-patterns web web-applications