请稍等 ...

关于用户权限的问题

老师你好，这个项目登录状态的保持是放在localStorage中，但是localStorage不安全呀，在console里可以直接修改，如果后台系统需要权限控制，比如分管理员和普通用户，普通用户无法看到管理员的页面，但是如果将用户权限也保存在localStorage中，这样当普通用户去修改localStorage中的权限字段，那么岂不是也有了管理员的权限？？？这样行不通吧，所以后台管理系统加上了权限的话该如何做呢

qq_MVP_皇德耀世_0 2018-02-17 13:58:05

源自：7-5 登录状态管理

788

收起

提交取消

1回答

Rosen 2018-02-17 20:52:46

这个项目的登录状态是在cookie里的，一个http-only的cookie字段。localStorage里存储的只不过是用户信息，不是登录信息，纯粹用于前端显示，所以不会有什么安全性问题。

0 回复有任何疑惑可以回复我~

提问者 qq_MVP_皇德耀世_0 #1

嗯嗯，那么这个cookie是服务端代码设置的吧，我以前用express可以设置cookie，

回复有任何疑惑可以回复我~ 2018-02-17 21:36:38

Rosen 回复提问者 qq_MVP_皇德耀世_0 #2
```
是的，通过response头里的set-cookie字段设置进去的
```
回复有任何疑惑可以回复我~ 2018-02-17 22:35:35

提问者 qq_MVP_皇德耀世_0 回复 Rosen #3

浏览器里不是可以直接清除和修改cookie么，这样也不安全吧？而且cookie没加密，之前用express的中间件cookie-parser就直接res.cookie返回了cookie，里面包含username

回复有任何疑惑可以回复我~ 2018-02-18 15:45:10

点开查看后面3条评论

相似问题

老师关于权限角色用户之间的关系

权限问题

访问 hive 表有权限问题

权限问题后续

编辑用户对应权限

登录后可查看更多问答，登录/注册

React16+React-Router4 打造企业级电商后台管理系统

参与学习 976 人
解答问题 405 个

【毕设面试】让缺乏框架开发经验的你掌握框架开发

了解课程

本课精华内容

问答

为什么我引用BootCDN上的bootstrap和font-awesome没效果？

1.4k 9

requier的问题

1.4k 9

nginx部署后点击路由出现404

1.3k 8

ajax发同步请求出现的问题如何解决

1.3k 8

老师，这里的nodeJs版本卸载了之前的版本，安装最新版本会对之前用户电商那边项目有影响吗？

2.4k 8

查看更多本课问答

意见反馈帮助中心 APP下载