大家好,我最近在做一个移动端的web,单页面的。碰到个问题请教下。
第一次请求返回所有的html,css,js。#modifyPW为修改密码的路由。
在用户没有登录的情况下,如果使用移动端的浏览器,则通过修改url能看到修改密码的界面。怎么能禁止这种情况呢?
目前的思路是通过js判断?不知道这种思路对不对?
各位都是怎么解决的呢?
路由都是有生命周期的,具体是怎么写取决于你所使用的框架或是路由组件。基本的思路是在路由进入激活的时候需要有一个规则判断当前的用户是否已登陆,如果没有就给他跳转到登陆页面去,应用此规则的路由就是受登陆保护的路由了。
怎么判断?当然是登陆的时候想办法把能用于鉴权的信息保存在本地,登出的时候再清除掉就是了。
浏览器本地js可以做一些基础的权限验证,但是因为本地代码可以被用户更改,所以建议在服务器端也需要对权限进行验证。
你可以考虑这样设计,在需要权限验证的页面(密码修改页面)先采用使用js验证一次,这样可以保证效率,同时,页面(密码修改页面)打开后,采用ajax方式到服务端进行二次验证,验证不通过则在回调函数中进行处理,这样可以保证安全;