activer/activer les plugins javascript en fonction des options utilisateur

Question

Je construis un client JS pour un ensemble de WebServices REST. Le client sera livré sous la forme d'un iframe intégrable, qui devrait charger les scripts JS en fonction des options utilisateur (profil de licence, options d'administration utilisateur, etc.)

Je me demande quel est le modèle le plus efficace et le plus efficace pour cela. A présent, j'ai un seul script "bootstrap", qui inclut les autres scripts. Je pourrais créer le code du script bootstrap dynamiquement (côté serveur), pour le charger uniquement l'ensemble des scripts requis par la configuration de l'utilisateur. Quoi qu'il en soit ces scripts seraient publiquement disponibles, même si les services ne sont pas activés pour certains utilisateurs ... À mon humble avis, ce n'est pas une bonne solution. Par contre, comment contrôler l'accès aux fichiers javascipt statiques sur un dossier public? Je souhaite éviter de diffuser du code javascript via mon code. Ce serait une surcharge coûteuse pour l'application!

Mmm ... Je suis un peu confus ...

Giovanni

Answer 1

En général, si vous souhaitez contrôler l'accès à une ressource fondée sur une exigence d'affaires (licences, profils utilisateur, etc.) vous n'avez pas d'autre choix que d'acheminer toutes les demandes pour cette ressource via votre application.

Cependant, puisque vous envoyez les fichiers au client, il n'y a aucune garantie que quiconque en possession des scripts est actuellement autorisé ou authentifié (la licence a peut-être expiré, etc.). En tant que tel, vous ne pouvez pas déduire qu'une demande à vos services Web est valide basée sur le fait qu'un consommateur sait comment appeler votre service Web.

Il devrait y avoir très peu à perdre en rendant les scripts accessibles au public (car il ne devrait y avoir rien que vous souhaitiez garder secret en eux). Donc, en réponse à votre question, je suggère d'authentifier et d'autoriser toutes les demandes au niveau du service Web et de permettre aux fichiers javascript d'être accessibles au public.