Security SPA架构问题
这篇文章的目的是开始一个关于web单页应用程序的更深入的讨论。在关于这个主题的大多数资源中,有些问题似乎没有明确的答案。 它们在我的脑海里Security SPA架构问题,security,memory-management,knockout.js,breeze,single-page-application,Security,Memory Management,Knockout.js,Breeze,Single Page Application,这篇文章的目的是开始一个关于web单页应用程序的更深入的讨论。在关于这个主题的大多数资源中,有些问题似乎没有明确的答案。 它们在我的脑海里 授权和认证。 由于整个web应用程序都在客户端上,它可能会调用服务器的任何功能,甚至是用户无权调用的功能。用户看不到菜单这一事实并不妨碍该用户调用java脚本函数。这在MVC应用程序中很容易处理,例如,通过使用基于cookie验证特定功能的用户权限的控制器。然而,一些SPA应用程序只使用带有Breeze或Web Api的单一控制器,这使得授权服务器端变得不可
这在OWASP中不是no。 因此,SPA应用程序“似乎”针对的是安全需求很少、功能集较小的领域。你觉得怎么样
谢谢。@Sergey-我觉得这个问题对StackOverflow来说太宽泛了。S.O.不是一个讨论论坛;这是一个寻找具体答案的地方。所以,虽然你们的问题可能是正确的,但我认为你们不应该对这里的深入实质性回答抱有太多希望 请允许我以最友好的方式补充一句,你那笼统、不受支持和消极的言论让你看起来像个巨魔。你不是巨魔,是吗,谢尔盖 有可能你真的很关心,我提供一些快速的反应,特别是当它们与微风有关时
User
属性,返回IPrincipal
。因此,无论您有一个控制器还是多个控制器(如果需要,您可以在Breeze中有多个控制器),粒度都是方法级的,而不仅仅是类级的我已经构建了一些SPA应用程序,从小到大(超过100个脚本和视图)。只有极少数人能看到公众可以看到的所有景色。其余的通过严格的访问结构。从服务器返回未经授权的401,而客户端只是处理401,将其重定向到登录屏幕,这非常简单。沃德先生和爸爸先生纠正了这一点。退出演示模式并重新启动