Angular.js SPA：UI-Router 授权与 PHP Auth

Question

在过去的几天里，我阅读了很多关于 Angular 中的 UI-Router Authorization 的内容。但有些事情我不清楚：

为什么我不应该使用 php 文件 (index.php) 作为 SPA，它自己进行身份验证。这意味着在执行文件时，如果用户登录，脚本会在数据库中查找。然后我写一个 $_SESSION。 对于将在网站上执行的每项操作（获取或存储任何数据），脚本都会检查用户是否有权执行此操作。如果不是这种情况，用户必须重新登录。

这个想法有什么问题，因为我认为在 JS 站点上登录是不安全的？

Answer 1

当您不想跨不同服务器扩展您的应用程序时，这是默认的思考方式。去吧，它会保持简单的想法。

只有当您必须在多个网络服务器之间扩展您的应用程序（预先使用负载平衡器）或者您在某处有一个 REST-API（它将执行身份验证）时，您才需要其他策略。

Answer 2

如上一个答案所述：问题在于有状态会话的可扩展性。

这也意味着您的服务器必须在加载 Angular 应用程序之前呈现响应。这会阻止您创建“已编译”或“静态”Angular 应用程序，如果它自上次使用以来没有更改，则可以从浏览器的 HTTP 缓存中快速提供服务。

替代方案？令牌身份验证，它使用无状态的自签名令牌从前端向后端发送 API 请求。我在这里写过它们：Token Based Authentication for Single Page Apps (SPAs)