angular中使用ngx权限进行acl管理安全吗?
Is it safe to use ngx permissions in angular for acl management?
我正在使用 angular 6,我想控制用户的访问权限。据我所知,建议在后端管理 acl,但是 angular 有一些包,例如 ngx permissions 可以在前端进行管理。使用它的功能安全吗?还是我走错了路!?
不,仅在前端应用程序中管理安全性不安全。
如果您有一个 Angular 应用程序,它很可能会连接到某些必须保护的后端 API。
举个简单的例子
- 您有一个保存按钮
- 单击“保存”按钮时,它会调用您的 API 创建或更新记录
您可以轻松隐藏“保存”按钮或阻止调用您的 API,可能需要使用 ngx 权限。
然而,没有什么能阻止用户发现按钮正在调用并在您的应用程序外部执行调用。所以你的 API 必须得到保护。
"Securing"您的前端应用程序只是提供更好用户体验的手段。
还有一个作者提到的warningif ngx-permissions
如果您的 angular 应用程序确实没有连接到后端(REST 服务)那么它就没问题 - 那么这是唯一的方法。但是,如果您连接到通过接口发布的某种服务,您也应该在那里建立一些安全措施。
我正在使用 angular 6,我想控制用户的访问权限。据我所知,建议在后端管理 acl,但是 angular 有一些包,例如 ngx permissions 可以在前端进行管理。使用它的功能安全吗?还是我走错了路!?
不,仅在前端应用程序中管理安全性不安全。
如果您有一个 Angular 应用程序,它很可能会连接到某些必须保护的后端 API。
举个简单的例子
- 您有一个保存按钮
- 单击“保存”按钮时,它会调用您的 API 创建或更新记录
您可以轻松隐藏“保存”按钮或阻止调用您的 API,可能需要使用 ngx 权限。
然而,没有什么能阻止用户发现按钮正在调用并在您的应用程序外部执行调用。所以你的 API 必须得到保护。
"Securing"您的前端应用程序只是提供更好用户体验的手段。
还有一个作者提到的warningif ngx-permissions
如果您的 angular 应用程序确实没有连接到后端(REST 服务)那么它就没问题 - 那么这是唯一的方法。但是,如果您连接到通过接口发布的某种服务,您也应该在那里建立一些安全措施。