使用react-dev-tools黑客authentication
我正在学习基于令牌的身份validation,我有一个问题。 想象一下,在我的应用程序中的身份validation过程是按照以下方式完成的:每当用户提供正确的凭据,我给他一个令牌,并将REDX存储中的“已validation”密钥更改为true,这允许他在我的应用程序中查看私人内容。 我想要隐藏的组件是这样编码的:
if(this.props.authenticated) { return <SuperSecretComponentOfIlluminatiMasonic666Chemtrails /> } else { return <PublicComponent /> } 我不知道这是否是一个安全的方法,因为任何人都可以安装react-dev-tools,在浏览器中翻动“已validation”的密钥,并在不提供凭据的情况下查看我想要隐藏的内容。 我的组件应该以不同的方式编码,或者一切正常,我只是在错误的方面? 我已经在很多教程中看到了这个方法,但这个问题不让我在晚上睡觉
您应该从服务器获取受保护的内容,并且此服务器只应在用户发送有效令牌时传递内容。
这样,是的,任何人都可以翻转客户端中的开关,但只显示UI组件,没有任何数据。
创build单页面应用程序时,这是常用的方法。 只要您从一开始就没有秘密或敏感的数据,它们就像提供数据的服务器/ API一样安全。