My Angular(第5版)应用程序使用JWT令牌和AuthGuard进行保护。理论上,用户能够在将聚合的表单值发送到服务器之前使用Chromes Developer Tools操作表单数据。现在是否有新的良好做法可以在客户端防止这种情况,因此我可以假设使用https发送到服务器的数据可以信任?
这个Question解决了这个问题:建议在那里结合验证服务器端会话。但是在Restful Architecture中,不再有会话,我们无法通过在服务器端使用验证来阻止所有操作尝试的组合。因此,我正在寻找一个方便的客户端解决方案,这使普通用户使用开发人员工具操作变得不舒服。另外我知道不可能有100%可信赖的客户端实现。但复杂的操纵尝试将是很好的权衡。
考虑创建HttpClient拦截器(请参阅https://angular.io/guide/http),它将针对每个HTTP请求(包括由表单启动的请求)自动调用。在这些拦截器中,您可以实现一些业务逻辑,以确保数据不被用户操纵。