angulaire.js - Problèmes de sécurité des applications monopage
某草草
某草草 2017-05-15 16:50:15
0
4
720

Contexte

Backend

nodejs est responsable de la logique back-end et le serveur http utilise nginx

Front-end

Construit avec angulairejs

Structure

'
+---------+       +-----------+      +--------+    +------+
|         |       |           |      |        |    |      |
|         +------->           +------>        +---->      |
|         |       |           |      |        |    |      |
|         |       |           |      |        |    |      |
| browser |       |   nginx   |      | nodeJs |    |  DB  |
|         |       |           |      |        |    |      |
|         <-------+           <------+        <----+      |
|         |       |           |      |        |    |      |
|         |       |           |      |        |    |      |
+---------+       +--+-----^--+      +--------+    +------+
                     |     |                               
                     |     |                               
                  +--v-----+--+                            
                  |           |                            
                  |           |                            
                  |    HTML   |                            
                  |           |                            
                  |    CSS    |                            
                  |           |                            
                  |    JS     |                            
                  |           |                            
                  +-----------+                    
'        

Description

L'interface RESTFUL doit être utilisée pour les autorisations, à l'aide de jetons. Le backend détermine les autorisations de l'utilisateur en fonction du jeton, puis renvoie les données.

Question

~~Est-il nécessaire d'ajouter une authentification par autorisation pour les fichiers comme HTML ? Par exemple, certaines pages ne sont pas censées être vues directement, mais il est désormais évident que HTML ne passe pas les autorisations de vérification de nodejs. ~~

Si la portée est étendue à d'autres fichiers statiques, tels que certains fichiers doc, comment cette détermination d'autorisation doit-elle être effectuée ?

某草草
某草草

répondre à tous(4)
小葫芦

Écrivez la variable du fichier de routage à l'endroit où le serveur envoie le premier code HTML au navigateur après la connexion. Lors de la connexion, répertoriez tous les fichiers auxquels l'utilisateur peut accéder, définissez ceux inaccessibles sur 404, puis connectez-vous Lisez ces fichiers lors de la configuration du routage. Si l'utilisateur accède directement à un itinéraire inaccessible, une page 404 s'affichera.
Vous pouvez également écrire le code d'identification de l'utilisateur dans ce fichier, et il n'est pas impossible de modifier l'ajax global via ng.

phpcn_u1582

Je pense que vous réfléchissez trop. Il n'y a aucune différence de sécurité entre les applications à page unique et les pages Web ordinaires. Elles utilisent toutes deux ajax pour interagir avec le serveur
. Quant à RESTful, il ne s'agit que d'un style architectural. L'utilisation de ce style n'entraînera aucun changement qualitatif dans la sécurité

.
洪涛

http://stackoverflow.com/questions/15938730/require-authentication-for-directory-sauf-one-page-with-passport-js-node-j


你需要auth_basic

PHPzhong

Cela n'a aucun impact sur la sécurité

Par exemple, prenez la page d'administrateur admin.html. Même si les utilisateurs ordinaires peuvent créer une URL pour accéder à cette page, diverses opérations et acquisitions de données échoueront car il n'y a pas de jeton légal.

On voit que la sécurité ne dépend que de la vérification de l'autorisation du token par repos en arrière-plan

Derniers téléchargements
Plus>
effets Web
Code source du site Web
Matériel du site Web
Modèle frontal