所以,假设我们有一个web应用,它的前端是在Vue框架中构建的,其中有一些像认证这样的东西是由Nuxt或类似的东西处理的。比方说,我们使用某种不记名令牌进行身份验证。
我理解,与后端的某种安全通信是由这些令牌来处理的,这些令牌与每个请求一起发送,然后由BE决定用户是否可以得到响应--这一切都发生在服务器端。
但是当我们有这样的代码(在Vue.js中)。
<div v-if="!$auth.loggedIn">Log in first!</div>
<div v-else>Super secret information</div>
"秘密信息 "不会被显示(或渲染),除非用户已经登录。但是所有的数据都已经被获取到浏览器中了,对吗?一旦用户通过认证,就不需要和后端服务器对话来解决这个问题。如果 的条件。我能否以某种方式提取内置javascript中的 "秘密信息",即使我没有经过认证,也能发送到我的浏览器?如果我真的想这样做并深入研究代码的话?这一切都已经在里面了,只是在满足条件的时候进行了重新渲染。
前端框架有自己的路由系统,页面只有经过认证的用户才能访问(在auth中间件后面)。是这样的吗?只是 它是如何工作的?我是 只是 应该从服务器上获取 "秘密信息",并且知道任何人都可以显示任何前端认证中间件背后的 "硬编码",如果他们想的话?
我是否可以以某种方式在构建的javascript中提取 "秘密信息",即使我没有进行身份验证,也会被发送到我的浏览器中?如果我真的想这样做并深入研究代码的话?
是的,如果你想,你可以。请永远不要在前端存储关键数据。你建立的文件只是混淆了,但并非不可读。