使用Flux / React应用程序存储authentication详细信息

我目前正在使用flux和nodejs应用程序。 具体可通的。 对于用户身份validation,我使用passport.js,它简化了对用户进行身份validation,创build会话和validation会话的过程。 一旦会话被validation,我的服务器发回一个用户对象。

{ _id: foo, email: foo@bar.com } 

然后,我的身份validation存储拥有一个IsLoggedIn方法来返回商店是否有用户。 但是我意识到这是不安全的,就好像商店上的数据被操纵一样,即使用户没有实际login,商店也会返回isLoggedIn。 我目前的处理方式是,当用户调用需要身份validation的apis时,我会在api调用中检查身份validation。 所以基本上,如果恶意用户使用flux存储数据,他们可能会看到针对login用户/不同组件的操作,但是他们无法真正修改任何内容。 我打算为用户pipe理员权限做同样的事情。 我的问题是,有没有更好的方法来处理这个问题? (即更好的方式不暴露数据到客户端)

不,没有更好的办法。

客户端总是可以被恶意用户操纵,而且你不能盲目信任它:你总是必须像你一样在服务器端实现安全性。