我一直在尝试寻找有关如何处理 SPA 应用程序中授权(而不是认证)的最佳实践。
假设我有一个带有 api 后端的客户端 MVC(angular、vuejs 等),我们如何管理应用程序的授权?
例如,用户和管理员都可以访问,但其中一个人具有更多的权限(视图中的功能)。如果他们都在客户端使用相同的 UI,如何保护并呈现适合其权限的正确视图?有一个选项是获取他们的角色/声明列表,并基于此确定在客户端上呈现什么,但由于这是基于 JS 的,因此很容易被规避。
对我来说,客户端 mvc 应用程序可能不是正确的解决方案,SSR 应用程序更适合此类问题。如果是这种情况,移动设备怎么办?如何解决手机上的同样问题,而无需开发实际的本机应用程序?