次のような方法でコンテンツの可視性を制御するユーザー情報を保存する方法を見つけようとしています。
Cookie、クエリ文字列、さらには HTML5 ローカル ストレージまたは SQLite もすべて優れたストレージ オプションですが、技術に精通したユーザーはすべて編集できます。ユーザーのセキュリティ レベルに基づいてコンテンツを制御しながら、クエリを制限し、ユーザーがコンテンツをハッキングできないようにするにはどうすればよいですか?
ユーザーが特定のコンテンツを表示できないようにする唯一の方法は、コンテンツサーバー側へのアクセスを検証し、レンダリングしないことです。 クライアント側の検証はすべて回避できます。ユーザーが見ることができない情報をローカルに保存する方法を考案したとしても、コンテンツをユーザーに送信し、クライアント側のコードを使用してその値を確認することになります。
ユーザーは、あなたが送信したコンテンツを見ることができます。
ロールと権限を確認するために、必ずしも SQL データベースに定期的にアクセスする必要はありません。セッション状態など、キャッシュされたロールと承認をサーバー側で保持し、ユーザーのセッションの存続期間中、それらに対して検証することができます。その時点で、ユーザーはとにかくページを要求しているため、パフォーマンス コストは発生しません。ページ要求ごとに、ユーザーが応答で表示できるものと表示できないものを単純に決定します。