всем привет! стоит задача реализовать следующие:
Есть сайт с одной точкой входа(туда может зайти как обычный пользователь так и админ...
В зависимости от роли пользователя я ему предоставляю определённый контент (и действия соответствующие: постить, удалять и редактировать страницы), и вот вопрос: как грамотно это реализовать ?
Сделал следующие: написал middliware на клиенте, где в зависимости от роли пользователя ,приходящей с сервера, перенаправляю на нужные страницы, но как мне кажется это не совсем то что нужно(с точки зрения безопасности, а что если у кого-то получится поменять свою роль на клиенте и он получит права к админ панели)...
Так же реализовал middleware на сервере с проверкой прав где шлю редиректы на нужную страницу (нужно ли это если есть проверка на фронте и обратый вопрос нужно ли на фронте если есть на сервере?)
Как грамотно связать проверку прав сервера с клиентом ? кто сталкивался с подобным ?
Права нужно проверять везде. На backend в первую очередь. Т.е. админские API должны возвращать 401, когда они вызываются с привелегиями обычного пользователя. Вы можете написать для этого соответствующее middleware.
Простой
