Разделение прав доступа, express и react?

всем привет! стоит задача реализовать следующие:
Есть сайт с одной точкой входа(туда может зайти как обычный пользователь так и админ...
В зависимости от роли пользователя я ему предоставляю определённый контент (и действия соответствующие: постить, удалять и редактировать страницы), и вот вопрос: как грамотно это реализовать ?

Сделал следующие: написал middliware на клиенте, где в зависимости от роли пользователя ,приходящей с сервера, перенаправляю на нужные страницы, но как мне кажется это не совсем то что нужно(с точки зрения безопасности, а что если у кого-то получится поменять свою роль на клиенте и он получит права к админ панели)...

Так же реализовал middleware на сервере с проверкой прав где шлю редиректы на нужную страницу (нужно ли это если есть проверка на фронте и обратый вопрос нужно ли на фронте если есть на сервере?)

Как грамотно связать проверку прав сервера с клиентом ? кто сталкивался с подобным ?
  • Вопрос задан
  • 329 просмотров
Решения вопроса 1
zoonman
@zoonman
CEO @ LinuxQuestions.ru
Права нужно проверять везде. На backend в первую очередь. Т.е. админские API должны возвращать 401, когда они вызываются с привелегиями обычного пользователя. Вы можете написать для этого соответствующее middleware.

До вас уже все придумано

https://developerhandbook.com/passport.js/passport...
https://reactrouter.com/web/example/auth-workflow
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
MAXXON Москва
от 180 000 до 200 000 ₽
Leningrad Media Санкт-Петербург
от 100 000 до 150 000 ₽