Galdino, show de bola meu caro! Seja muito bem vindo nos estudos da plataforma 🤝

No modelo de autorização, há uma função chamada can que valida as permissões dos usuários.

Correto, se trata desta função aqui.

No entanto, essa validação é feita com base em informações armazenadas no LocalStorage, o que pode ser facilmente editável.

A validação não é feita com base em informações armazenadas em LocalStorage, pois como você especulou, se este fosse o caso, seria facilmente editável.

O que você encontrou no LocalStorage é um array de features que são usados pelo frontend para a interface decidir mostrar ou não alguns recursos (por exemplo, recursos de moderação). Nenhuma destas informações são retornadas para o backend e o único fluxo neste caso é de mão única do backend para o frontend.

Então a confusão na sua avaliação pode ter acontecido porque este é o mesmo array que fica no backend, mas lá ele não é editável. Então o método authorization#can é usado apenas no backend da aplicação e que busca as informações que estão no banco de dados.

O método de autenticação + autorização que usamos é session based e difere de estratégias stateless como o JWT. E como tudo em tecnologia, uma solução não é melhor que a outra, é uma questão de contexto e tradeoff 🤝

igribeirohá 2 anos

Interessante isso em, to aprendendo muito aqui no tabnews , absorvendo muita coisa e tentando mostrar o que eu sei para as pessoas, sobre backend node ou baseados em java eu nao entendo muito. Mas achei interessante esse tipo de autenticação, vou procurar saber mais sobre, o JWT, sei que utiliza-se de token e refresh porem o session bases nunca tinha visto. não

Curso do Filipe (curso.dev)

Comprem, é incrível, nao me arrependo um segundo, eu sou um cara muito ansioso, quero consumir varios assuntos ao mesmo tempo, e as aulas do curso.dev me faz querer acompanhar igual acompanhava supernatural a uns dez anos atrás, um episódio por semana, mas estou aprendendo muito sobre os conceitos e ta me deixando mais calmo, comprei alguns cursos mas sem didática nenhuma, a pessoa só ia programando e eu sem saber nada, no curso.dev é ao contrário, la você monta etapa por etapa, você monta varios quebras cabeça que antigamente não se juntavam. Ancioso pra um dia poder contribuir no TabNews.