如何正确使用0Auth与Vue SPA而不泄漏源码？

Question

我目前正在制作一个平台，用户必须登录一个谷歌帐户才能访问它。我遵循了一个Auth0教程，它使用一个简单的v-if来查看用户是否经过身份验证。但是，即使用户没有登录，他仍然可以查看编译后的.js文件并搜索关键字，如apiKey和api_key。

如何防止这种情况发生，并且只向真正经过身份验证的用户提供源代码？这通常是怎么做的？

Answer 1

私有的东西通常是通过API从后端获取的。因此，您发送的代码始终是公共的(它是客户端应用程序)。

如果用户是否经过身份验证，v-if将确保模板匹配。但是，在对用户进行身份验证之前，不会有发送的敏感数据。因此，所有的工作都要在后端完成:确保令牌是有效的，然后立即发送数据。

因此，您不需要隐藏源代码或任何类似的东西。当然，这假设您的Github中没有敏感代码(没有明确的标记，没有敏感的硬编码HTML，等等)。