请教下各位前后端分离项目数据安全的问题

2017-08-25 18:41:13 +08:00
 lemayi
前后端分离项目,前端多页面。
在登录后,请求用户信息接口。返回用户的用户名,手机号,电子邮箱,用户等级名称等信息。这些信息很多页面会需要用到。
前端希望是每个页面都请求一次这个接口保证安全。
我觉得应该登录后返回用户信息,就存到本地 sessionstorage 里面。然后每个页面的直接读取本地信息。
修改电子邮箱或者手机号,再修改本地的信息。这样减少网络请求资源消耗。
但是前端说这不安全。没有足够的理由说服。知识欠缺。
请教下各位有过类似的经验的朋友,类似前后端分离项目。用户的基本信息是放在哪儿的呢?
还有类似用户等级列表(就一个简单的等级说明。比如 dz 那种。什么什么等级有什么权限),也可以存到本地的吧。
2014 次点击
所在节点    问与答
8 条回复
bazingaterry
2017-08-25 18:47:51 +08:00
前端太懒了吧,每个页面都请求一次,那么还写 SPA 来干嘛,干脆就直接回到服务端渲染好了。
lemayi
2017-08-25 18:56:43 +08:00
@bazingaterry 也不是懒了。只是觉得可能更安全。我欠缺前端方面的知识。不好说服他。手机号,邮箱这些确实有点敏感。但是没想到有影响的地方。你们在做前后端分离的项目是不是冷数据几乎都缓存在本地?
bazingaterry
2017-08-25 19:05:14 +08:00
@lemayi 我的做法是缓存在本地。

至于存在 sessionstorage 是有可能被后来的用户窃取的风险。但是可以存在状态管理里面吧,例如 Vuex 之类的,伴随整个页面的生命周期,结束也就销毁了。
wafm
2017-08-25 19:07:15 +08:00
我们的做法是 本地加密保存 HTTPS 接口 敏感操作需要密码验证
loveyu
2017-08-25 20:11:20 +08:00
就是前端太懒了而已,遇到过为了偷懒,宁可暴露数据也不愿意加授权参数的
azh7138m
2017-08-25 20:56:42 +08:00
@loveyu token (?)和这个没任何关系

存在前端的问题在于数据什么时候应该更新,差不多是自己实现一遍缓存了。
loveyu
2017-08-25 22:15:35 +08:00
@azh7138m 差不多类似吧,实际就是谁都不愿意改代码。我只想表达一个就是大家都比较懒的意思而已,包括我一样
Sapp
2017-08-25 22:29:43 +08:00
这种情况你们不用 vuex 这种玩意的吗?既然各个页面都需要用到相同数据,又没办法封装进一个组件,vuex 是量身定制的啊。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/385815

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX