К примеру есть у нас страница, которую нужно показывать только авторизованному пользователю. Но проверка прав написана на js, т.е. все это проверяется на клиенте. Соответственно никто не мешает клиенту обмануть сервер и запросить данные, которые ему не должны быть доступны.
Решения (что мне в голову пришло
)
1. При загрузке шаблона страницы проверять: есть ли у пользователя права на эту страницу?
2. При загрузке данных проверять, есть ли у пользователя права на данные для этой страницы?
пп.1 простой в реализации, но его "секурность" слабо говоря не на высоте.
пп.2 вроде всё закрывает, но при этом его реализация сложнее.
Собственно какие ещё есть идеи?
p.s.можно писать даже бредовые идеи, тема создана как раз для обсуждения.