| 感觉挺适合的,后台完全不需要 SEO ,超旧版本浏览器兼容性也不是非常重要 就是感觉如果不搞个前置 basic_auth 的话未登录 /低权限账号也可以看到 main.xxx.js 导致全部接口信息泄露 一般是怎么处理? |
| 应该有token鉴权的 |
| 1. 验证token 知道API也没用, 后端严厉规定权限 2. 不放心的话 我的做法是分开两个站 用户站后端只有用户API和权限, 管理站权限任意 反正这个链接只有你自己知道。(我反正这么干的 我怕一个不放心 方案一里的某个权限没限制好就尴尬了) |
| 这个没办法,你公开js文件就会暴露接口,除非你在spa前面再用后端鉴权一下。就是登录页后端渲染。然后请求的js文件验证cookie。。。那样似乎又回去了,或者后台目录起个只有自己知道的地址。。。 |