Single Page App w/Anmeldeseite

Question

Ich habe einige Forschung zu diesem Thema, aber kann nie etwas super relevant finden. Ich möchte eine einseitige Anwendung mit Polymer erstellen. Ich erstelle dies um eine REST-API, die eine Authentifizierung erfordert, um Ressourcen anzuzeigen.

Ich habe alle Details mit API ausgearbeitet, aber ich kann anscheinend nicht herausfinden, wie man mit einer Login-Seite umgehen. Was ist der beste Weg, um zu verhindern, dass ein Nutzer Inhalte sehen kann, ohne in der Anwendung angemeldet zu sein?

Offensichtlich die REST API wird nicht zulassen, dass Daten an den Client zurückgegeben werden, aber wie gehe ich verhindern, dass ein Benutzer in DevTools gehen und einige boolesche Werte ändern und in der Lage sein, durch alle Seiten zu navigieren und die 401 Fehler von allen Ajax-Anfragen, die versuchen zu feuern?

Ich schätze jede Hilfe, die ich bekommen kann! Vielen Dank!

Answer 1

Sie können nicht verhindern, dass Benutzer Dinge in DevTools ändern. Stellen Sie auf dem Server lediglich sicher, dass der Benutzer keine Daten erhält oder Daten nicht authentifizieren kann.

Geben Sie ein Token aus, wenn der Benutzer den Benutzernamen und das Kennwort übergibt und auf dem Server nur das erlaubt, was der diesem Token zugewiesene Benutzer ausführen darf.

Siehe zum Beispiel https://stormpath.com/blog/build-secure-user-interfaces-using-jwts/