Galdino
, show de bola meu caro! Seja muito bem vindo nos estudos da plataforma 🤝
No modelo de autorização, há uma função chamada can que valida as permissões dos usuários.
Correto, se trata desta função aqui.
No entanto, essa validação é feita com base em informações armazenadas no LocalStorage, o que pode ser facilmente editável.
A validação não é feita com base em informações armazenadas em LocalStorage
, pois como você especulou, se este fosse o caso, seria facilmente editável.
O que você encontrou no LocalStorage
é um array de features
que são usados pelo frontend
para a interface decidir mostrar ou não alguns recursos (por exemplo, recursos de moderação). Nenhuma destas informações são retornadas para o backend
e o único fluxo neste caso é de mão única do backend
para o frontend
.
Então a confusão na sua avaliação pode ter acontecido porque este é o mesmo array que fica no backend
, mas lá ele não é editável. Então o método authorization#can
é usado apenas no backend
da aplicação e que busca as informações que estão no banco de dados.
O método de autenticação + autorização que usamos é session based e difere de estratégias stateless como o JWT. E como tudo em tecnologia, uma solução não é melhor que a outra, é uma questão de contexto e tradeoff 🤝
Interessante isso em, to aprendendo muito aqui no tabnews , absorvendo muita coisa e tentando mostrar o que eu sei para as pessoas, sobre backend node ou baseados em java eu nao entendo muito. Mas achei interessante esse tipo de autenticação, vou procurar saber mais sobre, o JWT, sei que utiliza-se de token e refresh porem o session bases nunca tinha visto. não
Curso do Filipe (curso.dev)
Comprem, é incrível, nao me arrependo um segundo, eu sou um cara muito ansioso, quero consumir varios assuntos ao mesmo tempo, e as aulas do curso.dev me faz querer acompanhar igual acompanhava supernatural a uns dez anos atrás, um episódio por semana, mas estou aprendendo muito sobre os conceitos e ta me deixando mais calmo, comprei alguns cursos mas sem didática nenhuma, a pessoa só ia programando e eu sem saber nada, no curso.dev é ao contrário, la você monta etapa por etapa, você monta varios quebras cabeça que antigamente não se juntavam. Ancioso pra um dia poder contribuir no TabNews.