前端和后端的应用程序安全实践
Application security practices for frontend and backend
我目前正在开发网站前端(React js)和后端(Asp.net 核心)。
我一直坚持 API 的后端安全。 (基于角色和权限的授权)。
超级资深的开发者一直坚持只授权在前端
归根结底,我决定如何使用这个网络应用程序。
但是将所有 authorization/security 仅放在前端有什么好处吗?
我怎样才能最好地解释安全应该在应用程序的两端?
提前致谢。
授权必须在后端实现。如果只在 FE 上授权,任何用户,无论是合法的还是恶意的,都可以绕过授权机制,就像浏览或向相关路径发送请求并访问您试图保护的所有功能一样简单。
授权也可以放在FE上,以增强用户体验并减少网络流量(EG在前端检查密码策略)但是您永远不要相信前端的安全性!
我目前正在开发网站前端(React js)和后端(Asp.net 核心)。 我一直坚持 API 的后端安全。 (基于角色和权限的授权)。 超级资深的开发者一直坚持只授权在前端
归根结底,我决定如何使用这个网络应用程序。 但是将所有 authorization/security 仅放在前端有什么好处吗? 我怎样才能最好地解释安全应该在应用程序的两端?
提前致谢。
授权必须在后端实现。如果只在 FE 上授权,任何用户,无论是合法的还是恶意的,都可以绕过授权机制,就像浏览或向相关路径发送请求并访问您试图保护的所有功能一样简单。
授权也可以放在FE上,以增强用户体验并减少网络流量(EG在前端检查密码策略)但是您永远不要相信前端的安全性!