方案是我们向注册为制造商的用户提供免费计划。现在,当计划到期时。用户(制造商)可以登录,并且他只能访问订阅页面,我们正在阻止该应用程序的所有功能。
[第一个选择:我想到了将其他角色创建为“匿名”。当订阅到期时,将进行更改,并且当订阅处于活动状态时,它将恢复正常角色。
第二个选择:我们还在本地存储上使用了jwt令牌和声明。带isexpired标志。因此,使用isexpired标志检查订阅。但这带来了跨脚本攻击的安全漏洞。
我们如何防止跨脚本攻击。如果我使用第一个选项。在这种情况下有多好。