Javascript 安全的方法来检查管理员是否已登录，然后才创建特殊按钮？

我正在从头开始建立一个博客网站，所以我没有使用任何框架，只使用简单的html、css、javascript和php

如果管理员或任何用户登录，在Javascript中检查的“好习惯”和安全方法是什么？例如，如果一个普通会员已登录，我不想显示“新建帖子”或“删除帖子”之类的按钮/页面。 现在我用ajax来做，我调用我的router.php（所有get和post请求都在那里处理），然后将客户端的cookie发送到服务器，router.php在服务器上检查cookie[“token”]是否等于session[“token”]，然后才将信息（用户名和成员状态返回到ajax的成功函数中）发送到Javascript，在那里我做了一些类似于if（username==“admin”）的事情，然后显示“Delete button”。 代码：

这是可行的，但我认为这不是正确的方法。 我所有的视图都在.html文件中，控制器是包含在.html文件中的JavaScript，在这些文件中我称之为ajax，只有一个php文件为ajax的所有请求提供服务。

---

你能解释一下这个概念/好习惯吗？

用php做，使用权限/角色我同意，你不应该用Javascript做任何与安全相关的事情。Javascript总是可以被操作的，因为它在客户端的浏览器中运行。但是如何操作呢？javascript完成了“组合”，它正在创建视图/制作按钮。你是说有一种方法可以在php中实现这一点？可能在php文件中调用/编写javascript函数？我真的不明白这能回答你的问题吗？这真的很有帮助，谢谢你。同时，有人给了我一个想法：对于修改数据库和/或更改页面的每个php调用，我应该检查cookie[token]是否等于session[cookie]，如果是，检查（在php文件中）session[username]是否为admin，然后才让函数运行。因此，基本上，他们可以“更改”JS代码以查看要修改的按钮，他们将无法使用它，因为他们的会话[用户名]不会是admin。你觉得这个解决方案怎么样？

if(document.cookie.indexOf("token") != -1){ // check if cookie["token"] exists
    $.ajax({    //create an ajax request to router.php
        type: "POST",
        url: "../php/router.php",  //cookie_check data only
        data: {"cookie_check" : document.cookie.split(';')[1].split("=")[1]},    
        dataType: "json",              
        success: function(response){
            // sign in button transform to username
            var username = response[0]["username"];
            var status = response[0]["status"];
            $("#signInMenu").empty();
            var usernameList = document.createElement("li");
            usernameList.innerHTML = username;
            usernameList.className = "usernameCss";
            document.getElementById("menuNavId").appendChild(usernameList);

            // check which page is loaded
            var sPath = window.location.pathname;
            var currentPage = sPath.substring(sPath.lastIndexOf('/') + 1);
            if(currentPage == "posts.html" && username === "admin"){
                  //PLACE BUTTONS
            }
       }
    });
}