持久不可编辑浏览器(客户端)存储对象

Question

我试图找出如何存储一些用户信息，这些信息将以这样一种方式控制内容的可见性：

• 不需要经常到服务器上查询SQL以查看用户做了什么/没有访问权限，并且用户无法在浏览器的开发工具/控制台

中编辑

Cookie、Query甚至HTML5本地存储或SQLite都是很好的存储选项，但它们都可以由精通技术的用户编辑。如何根据用户的安全级别控制内容，同时限制查询并防止用户对其进行黑客攻击？

Answer 1

防止用户看到特定内容的唯一方法是验证他们对内容服务器端的访问，而不是将其呈现给他们。任何客户端验证都可以绕过。即使您设计了一种在本地存储用户看不到的信息的方法，您仍然会将内容发送给他们，并使用客户端代码检查该值。

用户可以看到您发送给他们的任何内容。

您不一定需要经常访问SQL数据库来检查角色和权限。您可以持久化一些缓存的角色和授权服务器端，比如在会话状态中，并在用户会话的生命周期中验证这些角色和授权。在这一点上，您没有承担性能成本，因为用户无论如何都在请求页面。对于每个页面请求，您只需确定用户在响应中能看到或看不到什么。