用JWT保护受保护的路由/页面

Question

让我们想象一下，我有一个带有React前端的网站，它呈现两个页面，一个是“查看数据”，另一个是带有登录表单的欢迎页面。

场景:您登录，服务器接受它，然后得到一个JWT。当您单击“查看数据”时，服务器将被发送令牌，并将其视为有效。服务器返回什么以允许前端显示页面，它是否只是重新发送令牌？前端不能保存它吗？不能在浏览器开发工具中欺骗/修改REST响应吗？如果没有，我知道您可以设置JavaScript变量等等，所以我不得不想象访问受保护的页面并不困难。我可以保护数据，但我不知道如何正确地保护页面本身。

重申各种问题：

1. 服务器返回的是什么，它只是重新发送令牌吗？
2. 不能在浏览器开发工具中欺骗/修改REST响应
3. 如果没有，我知道您可以设置JavaScript变量等等，所以我不得不想象访问受保护的页面并不困难。如果是这样的话，解决办法是什么？

Answer 1

我认为这里的问题是误解了什么是需要保护的。让我来说明一下你的情况，以确保我理解它：

• 您有一个显示所有页面的JS前端
• 在没有身份验证的情况下，有些页面是不应该访问的
• 您不确定如何保护这些页面，因为用户可能会欺骗客户端的“显示此页面”响应

重要的问题是，页面需要保护，还是页面上的数据需要保护？

如果只有数据才重要，那么让服务器避免发送数据，除非用户通过了身份验证。用户可以显示任何他们想要的页面，但是他们不会拥有使页面有用的数据，所以这并不重要。

如果页面本身必须保密(你确定吗？)在我看来，保守布局秘密似乎很奇怪.)那你就不能把它包括在你的前面。如果你把它放在你的前端，并发送给未经认证的用户，他们将能够找到它，如果他们是确定的。