我想用 AngularJS(客户端)和使用 PHP + MySQL 的 RESTful API(服务器)构建一个 Web 应用程序,仅用于学习目的。应用程序必须有管理面板,受登录保护。
我正在使用ui-router来防止未经授权的用户访问面板,但据我所知,客户端的每个代码都不安全。
如果恶意用户修改代码以授予对面板的访问权限而无需登录怎么办?我知道服务器数据和代码受到保护,但不是 HTML 部分(布局暴露),这与常见的 PHP 应用程序不同,其中视图在服务器端受到“保护”。我应该担心吗?
【问题讨论】:
标签: angularjs
我会使用$httpProvider 至少设置一个基于基本令牌的登录,并带有令牌/用户检查。例如,您可以使用Auth 服务和login()、logout、isLogedIn() 等方法管理标头,以处理并将状态保存到$cookies。通过这种方式,恶意用户可以入侵并获得对 html 模板的访问权限,但没有数据库数据...缩小代码也有助于避免这种风险。
angular.module('myApp', [])
.run(['Auth', '$location', '$rootScope', function (Auth, $location, $rootScope) {
$rootScope.$watch(function () {
if (!Auth.isLogedIn())
$location.path("/login");
return $location.path();
});
}])
.config(['$routeProvider', '$httpProvider',
function ($routeProvider, $httpProvider) {
$routeProvider
.when('/home', {templateUrl: 'partials/home.html'})
.when('/login', {templateUrl: 'partials/login.html', controller: 'LoginCtrl'})
.when('/logout', {templateUrl: 'partials/login.html', controller: 'LogoutCtrl'})
.otherwise({redirectTo: '/home'});
$httpProvider.defaults.headers.common["Authorization"] = "";
$httpProvider.defaults.headers.common["X-User"] = "";
}
]);
来自代码 sn-p:
$httpProvider.defaults.headers.common 将为每个请求设置一个标头。$httpProvider.defaults.headers 只会为下一个请求设置 header。run 上设置在$rootScope 上的$watch 将在每次更改范围时触发isLogedIn() 应检查标题令牌与数据库中的条目。 【讨论】:
关于“客户端的每个代码都不安全”,您是对的。 您的侧边代码需要检查每个访问权限请求。这可以通过会话、Web 令牌甚至 http 基本身份验证来完成。通过您的 javascript (ui-router, onStateChange ...) 的限制,这是非常不安全的
【讨论】: