Vaadin - 使用 ReadOnly 保护表单字段是否足够好？

亲爱的大家，我喜欢使用 Vaadin Webflow 并创建一些表单。如果用户没有“管理员”角色，某些字段不应变为可编辑。

Vaadin 支持将表单字段设置为只读或完全禁用字段，例如

TextField

。我还看到

Binder

支持

Binder.forField(...).bindReadOnly(...)

。

我想知道从安全角度来看应该使用哪种方法，因为我注意到在 Shadow root 中仍然呈现了一个

<input>

字段，该字段可能会被“黑客攻击”。

如果某个字段设置为“只读”但仍然被传输，Vaadin 是否会在服务器端执行检查？或者 Vaadin 中如何确保这种情况的安全？

EmailField email = new EmailField("Email");

Binder<User> binder = new BeanValidationBinder<>(User.class);
binder.setBean(user);

// some service to determine if Emailaddress can be edited for the current logged-in user 
boolean allowed = authorityService.isCurrentUserAdmin();

// 1. Method: set field to ReadOnly
email.setReadOnly(!allowed);

// OR

// 2. Method: set the binder to use only read-only getter
if(!allowed)
   binder.forField(email).bindReadOnly(User::getEmail); 

对于这两种情况，都会渲染

<input>

字段。那么这在 Vaadin 中是否足够安全，或者我应该担心并更改字段以使用“SPAN”文本标签和服务器端的特殊逻辑？

User