安全性和GWT -客户端

Question

也许这是一个愚蠢的问题，但javascript是一个奇怪的东西。我用spring security保护了我的gwt应用程序，并希望在客户端使用安全角色。这是否安全，或者它们是否可以被操纵，以便普通用户突然可以访问管理器部分。

Answer 1

永远不要相信客户端！因此，每次调用服务器获取数据时，都应该检查用户是否有权访问该数据，包括查询和存储/删除数据。

Answer 2

您应该包括两端的安全性。只需记住，安全性永远不应该是客户端的“强制”，但UI应该反映用户的角色(即，您不希望为非管理员的用户显示管理员链接)。您应该在服务层加强安全性。如果您在客户端实施安全性，则不会阻止用户手动构建were服务调用，但如果在服务层实施安全性，则请求将被拒绝。