如何保護Backbone.js

Question

我有一個Backbone應用程序，可以處理公共和私有內容。

公開=>登錄，注冊，新聞等

私人=>聊天，其他用戶特定信息。

為了保護整個應用程序，我在node.js中具有基於會話的身份驗證機制。 此機制可保護backend-api。 現在的問題是我如何保護前端。

1. 如何在骨干網中保護路由
2. 我如何在Backbone中保護模塊（requireJs）

我的一個想法是將前端分為公共和私有，然后服務器決定是否授予對私有資產的訪問權限。

還有哪些其他前端安全概念？

具體來說：我想在客戶端檢查用戶是否已通過身份驗證，並且我想限制將require-js模塊加載到未經身份驗證的人員中（以節省bandtwitch）

Answer 1

您的服務器應提供一個API，以檢查當前用戶（可能通過其Cookie）是否已通過身份驗證。

在骨干網中，您可以在路線/導航上檢查用戶是否已通過身份驗證，然后執行代碼（可能在驗證檢查之后調用requireJS模塊）。

據我所知，沒有骨干的東西具有用戶狀態的概念。 您可以實現setTimeout循環以請求服務器的身份驗證狀態，然后實現Backbone.Events在此之上，以在用戶未經身份驗證時發出事件，您的骨干應用程序可以監聽該事件，然后觸發呈現登錄視圖，或將用戶引導至登錄頁面。

我主要為后端使用用戶ouchdb，並且它具有$ .couch.session函數，該函數將讓我知道當前用戶的身份驗證狀態。 您很可能需要實現自己的連接到后端框架的會話功能。