flyzy博客
感觉挺适合的,后台完全不需要 SEO ,超旧版本浏览器兼容性也不是非常重要 就是感觉如果不搞个前置 basic_auth 的话未登录 /低权限账号也可以看到 main.xxx.js 导致全部接口信息泄露 一般是怎么处理?
安徽省网友说:应该有token鉴权的
河北省网友说:1. 验证token 知道API也没用, 后端严厉规定权限
2. 不放心的话 我的做法是分开两个站 用户站后端只有用户API和权限, 管理站权限任意 反正这个链接只有你自己知道。(我反正这么干的 我怕一个不放心 方案一里的某个权限没限制好就尴尬了)
