我想知道 AngularJS 中最好的方法是保护管理页面,即普通用户不应该看到的页面。显然,会有后端身份验证,但由于 AngularJS 应用程序是客户端,理论上人们仍然可以查看路由并直接访问这些 URL 并查看管理页面。
我使用 Express、PassportJS 和 MongoDB (Mongoose) 作为我的后端。自然,他们将无法与管理页面交互,因为在创建、删除时存在服务器端身份验证......但如果他们没有适当的访问。由于该应用程序完全是客户端 JS,我认为这是不可能的,因为人们可以修改路由等等。解决这个问题的最佳方法是什么?感谢您的任何意见!
【问题讨论】:
标签: angularjs node.js security express passport.js
为什么您“更愿意”不向非管理员用户提供这些页面?除了一些你应该阻止人们看到他们“不应该”看到的东西的本能之外,你有真正关心这个的理由吗?
如果您的安全配置正确,那么非管理员用户将无法访问管理员数据或执行管理员操作。这才是你应该关注的,而不是发明复杂的方法来阻止他们看到他们无论如何都无法使用的管理屏幕。你花在这上面的任何时间基本上都是浪费时间,你应该把它花在更重要的事情上。
【讨论】:
我会在 routeProvider 中进行检查。这必须对每条需要身份验证的路由进行。您甚至可以编写一个单独的方法并将其粘贴到每个路由以避免重复。
$routeProvider
.when('/profile', {
templateUrl: 'views/profile.html',
controller: 'ProfileCtrl',
resolve: {
validate: function($q, $location) {
// Either you could maintain an array of hashes on client side
// a user do not have access to without login
// Or hit the backend url to check it more securely
var validateAccess = $q.defer();
var isAllowed = ['profile', 'index', 'dashboard'].indexOf($location.hash()) !== -1;
if (!isAllowed) {
$location.path('/login');
}
validateAccess.resolve();
return validateAccess.promise;
}
}
})
.otherwise({
redirectTo: '/'
});
【讨论】:
这个问题有点老了,但如果有人正在寻找解决方案,我使用资源文件来存储我的 html 模板,然后在验证权限时使用 webapi 检索它,并仅在用户通过身份验证时返回 html。
【讨论】:
我同意 Chris Russo 的担忧。这都是关于安全问题的。如果您在前端使用 Angular,那么如果有人试图攻击您的网站/应用程序,您需要一个具有强大保护您的应用程序能力的框架。我会推荐 Spring 框架 (spring_security),它已被证明具有保护您的 Web 应用程序的功能。您需要为每个用户分配角色,例如 ROLE_USER 或 ROLE_ADMIN。我不会详细说明如何做到这一点,但这将有助于解决您的疑虑。 :)
【讨论】:
我这样做的方式是,将 angularJS html 放入 JSP 页面并检查会话。如果会话验证提供访问。 我不确定这是否是正确的方法。 另一种方法是,不使用 JSP,但每次 API 命中时,检查服务器上的会话,否则返回 false。 另一种方法是在第一次登录时,获取自动生成的密钥,同时存储在服务器和客户端,检查每个 API 命中。
【讨论】:
你可以在ui-routerhttps://github.com/angular-ui/ui-router/tree/master中使用params
【讨论】: