Можно ли проверить возможность редактирования на стороне клиента?

Question

[OCCASS OCCASSOVICH]

Всем привет, у меня фронт отображает посты и одним из полей является владелец этого поста, насколько корректна проверка на фронте: если ты владелец поста, то отображать поля для редактирования? Бэк на Go, поэтому SSR здесь не получится использовать

Comments

[WbICHA]

если ты владелец поста, то отображать поля для редактирования?

Конечно. Это же просто поле. Главное чтобы на беке была проверка прав пользователя на возможность редактирования.

[OCCASS OCCASSOVICH]

WbICHA, окей, спасибо

Answer 1

[Михаил Р.]

корректна проверка на фронте

Все проверки связанные с безопасностью - необходимо производить на бэке. Вы в любом случае должны осуществлять вторичную проверку на бэке всего того, что юзверь понаписал на фронте.

Бэк на Go, поэтому SSR здесь не получится использовать

На nextjs получится.

Comments

[WbICHA]

Сомневаюсь, что "поля для редактирования" относится к безопасности.)

[OCCASS OCCASSOVICH]

То есть мне стоит отправить запрос, CanEdit? и если может то уже отобразить поля?

[Михаил Р.]

WbICHA, т.е. если чел отредактирует не свои данные, то "это безопасно, уверяю вас"?
Вспомнился мем

[Михаил Р.]

OCCASS OCCASSOVICH, да, продублировать проверку критических моментов на бэке.

[WbICHA]

Михаил Р., если редактировать может любой, но вся защита строится на скрытии поля на фронте, то уже неважно отображается ли поле на фронте или нет.)

[OCCASS OCCASSOVICH]

Михаил Р., в общем все проверить)

[Михаил Р.]

OCCASS OCCASSOVICH, изменение информации - проверяем на фронте (чтобы посетителям удобнее было взаимодействовать с сайтом) но критические моменты все равно перепроверяем на бэке (чтобы чел ничего не подкрутил на фронте).

[OCCASS OCCASSOVICH]

Михаил Р., понял, спасибо

Answer 2

[Shavadrius]

На клиенте можете делать что угодно, главное чтобы на сервере все данные проверялись.

Comments

[OCCASS OCCASSOVICH]

то есть грубо говоря, поля то я отображу, но ещё на сервере проверю, может ли редактировать

[Shavadrius]

OCCASS OCCASSOVICH, да. Иначе, зная эндпоинт, можно будет править любые посты, не являясь автором этого поста, просто отправляя POST-запросы на этот эндпоинт.
Обычно, если у вас есть разделение на клиент и АПИ, то с запросом посылают JWT-токен, в котором есть вся нужная информация. АПИ перед работой с БД, подтверждает валидность токена, парсит его и достает доступы, сравнивает их с каким-то эталоном и правит пост или же возвращает ответ "доступ запрещен".
И тут уже не важно, что на клиенте: пока не прикрепишь к своему запросу валидный токен - изменить пост не получится.