1

私は JavaScript での Web アプリケーションの開発を学ぼうとしています。そのために、単純なタイム トラッキング アプリケーションを開発しています。UIを動的に作成するためにExtJSでこれを開発しています。

これにより、従業員はさまざまなプロジェクトに費やした時間を提出したり、マネージャーがプロジェクトをユーザーに追加したりできます。

ユーザーがサインインしたら、その役割を決定し、(JavaScript を使用して) 適切な UI を提供します。

これを行うための最善かつ最も安全な方法は何だろうと思っていましたか? (もちろん、サーバー側で承認をチェックしているので、http get/post を介して PHP サービスを呼び出すだけで誰も変更を加えることができません)

JavaScriptをいじって(たとえばFireBugコンソールから)、許可されていない人が許可されていないUIを見ることさえできないようにするという観点からお願いします。

JSONP を使用して、適切な UI を作成するための適切なスクリプトを返すサービスを作成することを考えていました。それは私にはかなりWTFのように感じるので、もっと良い方法があるかどうか疑問に思っていました.

4

1 に答える 1

2

naugtur のコメントに基づいて作成します。自分自身で UI を構築したり、UI の任意の部分で実行できるサーバーへの呼び出しを偽造したりできる非常に賢い人がいると常に想定する必要があります。

それに基づいて、質問の最後に提案した方法の前提は、そもそもデバンクのようです。解決した後の最も簡単な方法は (単一ページのアプリケーションを作成していると仮定しています)、すべての JavaScript コードを常にログイン画面の直前にダンプし、ユーザーが必要なものだけを表示できるようにすることです。役割 (つまり、役割ごとに異なるカードを持つカード パネルがその例です)。

また、アプリケーションのバックエンドにも追加したいと思います。ユーザーが実行しているアクションに対して正しいロールを持っていることを確認するために、常にセキュリティ チェックを実施する必要があります。アプリケーションがインターネットに面している場合、これは必須です。コードを調べて、悪意を持って、または単に楽しみのために何ができるかを確認するユーザーが常に存在します。デバッガーを使用して、さまざまなパラメーターを使用して独自の偽の ajax 呼び出しを作成します。

于 2013-02-14T18:31:48.723 に答える