简体中文(ZH-CN) English(EN) 繁体中文(ZH-TW) 日本語(JA) 한국어(KO) Melayu(MS) Français(FR) Deutsch(DE)
angular.js - 单页应用的安全问题
某草草
某草草 2017-05-15 16:50:15
0
4
644

背景

后端

nodejs负责后端的逻辑, http服务器是用nginx

前端

使用angularjs搭建

结构

'
+---------+       +-----------+      +--------+    +------+
|         |       |           |      |        |    |      |
|         +------->           +------>        +---->      |
|         |       |           |      |        |    |      |
|         |       |           |      |        |    |      |
| browser |       |   nginx   |      | nodeJs |    |  DB  |
|         |       |           |      |        |    |      |
|         <-------+           <------+        <----+      |
|         |       |           |      |        |    |      |
|         |       |           |      |        |    |      |
+---------+       +--+-----^--+      +--------+    +------+
                     |     |                               
                     |     |                               
                  +--v-----+--+                            
                  |           |                            
                  |           |                            
                  |    HTML   |                            
                  |           |                            
                  |    CSS    |                            
                  |           |                            
                  |    JS     |                            
                  |           |                            
                  +-----------+                    
'

说明

RESTFUL接口肯定是要做权限, 用是token的方式, 后端根据token来判断用户的权限, 然后返回数据。

问题

~~HTML这样的文件有必要加权限的认证吗?比如有些页面是不想直接让人看到的, 但现在很明显, HTML是不经过nodejs验证权限的。~~

那如果范围扩大到一些其他的静态文件, 比如一些doc文件, 那么这个权限判定应该怎么走?

某草草
某草草

membalas semua(4)
小葫芦
小葫芦2017-05-15 16:52:15 Tingkat 4

Tulis pembolehubah fail penghalaan di tempat pelayan menghantar HTML pertama kepada penyemak imbas selepas log masuk. Apabila log masuk, senaraikan semua fail yang boleh diakses oleh pengguna, tetapkan fail yang tidak boleh diakses kepada 404, dan kemudian ng in Baca fail ini semasa menyediakan penghalaan Jika pengguna mengakses terus laluan yang tidak boleh diakses, halaman 404 akan dipaparkan.
Anda juga boleh menulis kod pengenalan pengguna dalam fail ini, dan tidak mustahil untuk mengubah suai ajax global melalui ng.

Suka +0
Tambah Balasan
phpcn_u1582
phpcn_u15822017-05-15 16:52:15 Tingkat 3

Saya rasa anda terlalu berfikir Tidak ada perbezaan dalam keselamatan antara aplikasi satu halaman dan halaman web biasa Kedua-duanya menggunakan ajax untuk berinteraksi dengan pelayan
Bagi RESTful, ia hanyalah gaya seni bina Penggunaan gaya ini tidak akan menyebabkan sebarang perubahan kualitatif kepada keselamatan

Suka +0
Tambah Balasan
洪涛
洪涛2017-05-15 16:52:15 Tingkat 2

http://stackoverflow.com/questions/15938730/require-authentication-for-directory-except-one-page-with-passport-js-node-j

你需要auth_basic

Suka +0
Tambah Balasan
PHPzhong
PHPzhong2017-05-15 16:52:15 Tingkat 1

Ia tidak memberi kesan kepada keselamatan

Sebagai contoh, ambil halaman pentadbir admin.html Walaupun pengguna biasa boleh membina URL untuk memasuki halaman ini, pelbagai operasi dan pemerolehan data akan gagal kerana tiada token yang sah.

Ia boleh dilihat bahawa keselamatan hanya bergantung pada pengesahan kebenaran token dengan tenang di latar belakang

Suka +0
Tambah Balasan
Topik popular
Lagi>
Artikel popular
Tutorial Popular
Lagi>
Tutorial berkaitan
Cadangan popular
Kursus terkini
Muat turun terkini
Lagi>
kesan web
Kod sumber laman web
Bahan laman web
Templat hujung hadapan
Tentang kita Penafian Sitemap
Laman web PHP Cina:Latihan PHP dalam talian kebajikan awam,Bantu pelajar PHP berkembang dengan cepat!