前后端分离开发后台遇到的问题

登陆之后获取用户信息

上 https

逻辑上讲很简单啊。

一、把访客页面和管理页面拆开，管理页面资源（包括 editor ）全部通过鉴权才能加载。
二、editor 接口加上鉴权。

不管怎么样后端都是要加鉴权的。前后端分离的 SPA 的情况下，前端的鉴权只是用户体验上的改进，完全不可依赖。不管你加什么逻辑，用户在你的代码里面把逻辑删掉就还是能愉快地跑

后端是 Java 的话，加上过滤器判断一下，其他语言框架不了解

对啊，怎么不鉴权呢

资源上传接口不仅要鉴权，还要限制资源类型，大小，防止被当做网盘用或者恶意攻击。

后端看起来是鉴权了的 但是没有写在拦截器、中间件一类的地方
不然不会出现接口数据 403 了
图片上传的路由应该放在了“无需校验”的那一块了 和后端沟通下 改下就好了
其实我觉得如果 editor 能上传 根本无需大费周章的用 fidder 改 status 拿到上传路由直接 postman 应该也能成功

@Immortal
“后端看起来是鉴权了的 但是没有写在拦截器、中间件一类的地方”
改为
“后端看起来是鉴权了的 但是没有把上传路由加在拦截器、中间件一类的地方”

上传文件加上鉴权就是了 前端也只能那样了

上传接口都不鉴权，真是艺高人胆大~

@throns #2 https 是防止中间人攻击的，你让楼主上 https 就是掩耳盗铃了。

好巧，这部分逻辑我刚重新理了
1.接口方法和前端操作分别管理
2.前端操作关联接口方法（多对多）
3.用户权限最终关联前端操作（中间可能还有角色、部门、岗位之类的关联）
这样达成的效果
1.前端界面能显示哪些内容（包括菜单）依赖登录后接口返回的权限数据（前端操作列表）
2.即便他了解你的系统可以手动构造数据访问接口，接口也可以判断他有没有权限

@throns #2 https 是防止中间人攻击的，并不能防止客户端修改数据，就像你网站上 https 并不能防止访客浏览器上安装的插件拦截网站广告一样。你让楼主上 https 就属于掩耳盗铃了。

@throns @Immortal 是使用代理直接修改返回数据了，与后端无关。
@eason1874 @geekdocs 管理页面已经拆开了，首页暴露管理入口。然后被绕过登陆了。
@ericgui 之前不知道怎么回事没有鉴权，现在修改了。
@Leigg 谢谢提醒
@Immortal 当时是后端上传接口漏加上这个了，现在已经堵上了。
@chongzi 就是接口直接返回 403，他看不到数据和上传 /发布数据。稍后我发图说明一下流程。之前讨论过动态菜单，但是想了一下菜单还是写在 route 上了，好像也是能进入页面（可能想得不对）

上传图片那个地方已经修改了，之前是由于某个原因没有加上，现在已经堵上了。
就是登陆想不通，应该如何返回数据来限制直接修改数据进行登陆。
像 @seki 说的，直接在前端删除管理页面的拦截逻辑有没有可能防范？（除非服务器渲染？）
虽然绕过登陆后看不到数据啥的，但是能进去就感觉有一点点奇怪。

统一鉴权 你这个权限问题

最坏的情况，他对你的系统了如指掌，
手动修改了接口返回的数据、直接修改了 js 变量、甚至手动写了个跟你系统一样的页面
只要他无法正常访问你的接口，就不会对你的系统造成任何影响
这还有什么顾虑呢

如果他只是修改了登录接口返回的状态码，而没有修改返回的具体数据（比如前端操作列表）
那你完全可以在 router 跳转的时候拦截

所以使用 cookie 不是没有原因的，想用 token 就所有页面都加验证

看到你列出来的④和⑤，好像这样是无解了。。。