[英]SproutCore Security and Authentication concerns
我一直在努力学习一些关于SproutCore的知识 ,遵循“Todos”教程,我有一些无法在网上找到的问题。
提前致谢!
PS:有人认为卡布奇诺是更好的选择吗? 我决定选择SproutCore,因为卡布奇诺的文档看起来很糟糕,尽管SproutCore没有变得更好。
伊恩
您的顾虑是有效的。 问题是,无论采用何种框架,它们都适用于所有客户端代码。 所以:
Web应用程序是复杂的事情。 将处理移动到客户端是一件好事,因为它可以加快应用程序的响应速度。 但是,服务器必须验证所有数据输入,就像在任何其他Web应用程序中一样。
此外,所有Web应用程序都应使用系统安全中普遍存在的众所周知的身份验证/授权范例。 身份验证意味着您必须验证用户是否是他们所声称的用户,并且他们可以使用该系统,授权意味着服务器必须验证用户是否可以执行他们正在尝试的操作,例如他们是否可以创建新的数据条目,或者编辑现有的。 优秀的设计是不向用户提供不允许执行的UI选项,但您不应该依赖它。
所有Web应用程序都必须执行这些操作
关于“与后端的交互”问题:同样,所有Web应用程序都有这种担忧。 您可以打开firebug / webkit,查看RIA在其操作中使用的所有xhr请求,并模仿它们尝试在该系统上执行某些操作。 同样,您必须通过身份验证/授权检查来处理此问题。 任何人都可以使用任何webclient向服务器发送请求。 由开发人员来验证该请求。
SproutCore中的DataSource只是SC应用程序如何与服务器交互的抽象。 然而,在一天结束时,所有SC正在做的是向服务器发出XHR请求,就像任何其他RIA一样。
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.