Javascript 用户更改JS代码是件坏事吗？

我最近正在构建一个基于Drupal 8.6作为API和Vue.js作为SPA的门户网站。我目前正在做关于OAuth身份验证安全性等方面的研究，但我不能停止思考开发人员工具更改用户代码的问题

我不担心数据泄漏，因为这也应该在备份上得到保护，但如果用户将isLogin（）更改为always true并查看例如logged user HTML模板，该怎么办呢

我是否应该采取一些措施，这才是真正的问题，或者这个问题只在我的头脑中存在，这就是它的工作方式

---

谢谢

只需遵循web安全的主要原则：永远不要信任客户端。只有当私有数据提供了向服务器进行身份验证的方法时，才应将其发送到客户端。这样，即使客户端代码发生更改，也不会暴露任何数据，因为服务器不会发送私有数据。

不会，而且您几乎无法阻止它。如果它到达客户端，客户端可以看到并更改它。我不认为OAuth会出现问题，据我所知，要获得令牌，您需要访问web服务器，这需要您有一个后端，这样您就可以在那里进行身份验证。“登录用户HTML模板”中有任何敏感信息吗？如果是，则在服务器对用户进行身份验证之前不应提供模板，如果不是，则无所谓。