目前的做法:
数据库users表有个overTime字段,表示过期时间。
登录的时候会把overTime存缓存
每次用户点开vip专区,就会判断overTime是否大于当前日期,如果大于说明没过期,可以正常访问
遇到的问题:
有个漏洞,用户可以F12打开网页调试修改overTime的值,这样很不安全。各位有好的解决方案么?
比较好的做法是:
设置角色 -- 普通用户 || vip用户 || 超级管理员
nodejs开发一个api,用来验证用户角色
即判断vip用户(角色)的到期时间是否大于当前日期,如果不大于,用户角色为vip角色,否则为普通用户。
这个在登录的时候就进行调取,如果是vip用户角色,就出现vip专区,否则提示“用户无权限”
既然提到了f12,那应该就是浏览器端了
所以直接不缓存这些东西,每次要用都重新请求最新的即可
另外没看出哪里不安全,难道后端不校验vip身份?
后端不返回数据就好了。vip页面随他进,反正没数据。
比如vip视频,不返回视频播放地址。