从Web Api返回权限给AngularJs客户端

Question

我正在构建一个具有一组用户类型的应用程序。我有一个.Net MVC5WebApi Web服务和一个angularjs。我想让我的SPA显示与登录用户类型相关的页面。我使用不记名令牌进行身份验证，然后将其存储在localStorage中。

我已经想过制作web api，返回带有用户声明和角色的令牌，然后我可以使用这些信息来决定向用户显示哪些页面，但是，我担心用户可以很容易地更改这些信息。

你能告诉我如何在不引入安全漏洞的情况下实现这一点吗？

提前谢谢。

Answer 1

在服务器端，即您的控制器，您应该添加一些授权过滤器。将令牌解析为请求用户并验证授权。实现一些缓存，这样就不会每次都查询数据库(或某个用户存储)。你不能控制客户端。他们可以在显示中随心所欲地改变，并撰写他们的请求。因此，这就是为什么将这些身份验证/授权放在每个请求中很重要。