简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
ホームページ
記事
に質問
コース
特集
ダウンロード
ゲーム
辞書
最近の更新

ホームページ  >  に質問  >  本文

angular.js - 单页应用的安全问题

背景

后端

nodejs负责后端的逻辑, http服务器是用nginx

前端

使用angularjs搭建

结构

'
+---------+       +-----------+      +--------+    +------+
|         |       |           |      |        |    |      |
|         +------->           +------>        +---->      |
|         |       |           |      |        |    |      |
|         |       |           |      |        |    |      |
| browser |       |   nginx   |      | nodeJs |    |  DB  |
|         |       |           |      |        |    |      |
|         <-------+           <------+        <----+      |
|         |       |           |      |        |    |      |
|         |       |           |      |        |    |      |
+---------+       +--+-----^--+      +--------+    +------+
                     |     |                               
                     |     |                               
                  +--v-----+--+                            
                  |           |                            
                  |           |                            
                  |    HTML   |                            
                  |           |                            
                  |    CSS    |                            
                  |           |                            
                  |    JS     |                            
                  |           |                            
                  +-----------+                    
'

说明

RESTFUL接口肯定是要做权限, 用是token的方式, 后端根据token来判断用户的权限, 然后返回数据。

问题

~~HTML这样的文件有必要加权限的认证吗?比如有些页面是不想直接让人看到的, 但现在很明显, HTML是不经过nodejs验证权限的。~~

那如果范围扩大到一些其他的静态文件, 比如一些doc文件, 那么这个权限判定应该怎么走?

某草草某草草2684日前647

全員に返信(4)返信します

  • 高洛峰

    高洛峰2017-05-15 16:52:15

    ログイン後にサーバーが最初の HTML をブラウザーに送信するルーティング ファイル変数を書き込みます。ログイン時に、ユーザーがアクセスできるすべてのファイルをリストし、アクセスできないファイルを 404 に設定してから、次の内容を読んでください。ルーティングを設定するときに、アクセスできないルートにユーザーが直接アクセスすると、404 ページが表示されます。
    このファイルにはユーザー識別コードを記述することもでき、ng を通じてグローバル ajax を変更することも不可能ではありません。

    返事
    0
  • phpcn_u1582

    phpcn_u15822017-05-15 16:52:15

    あなたは考えすぎだと思います。単一ページのアプリケーションと通常の Web ページでは、どちらもサーバーとの対話に Ajax を使用します。 RESTful に関しては、これは単なるアーキテクチャー・スタイルであり、このスタイルを使用してもセキュリティーに質的な変更が生じることはありません

    返事
    0
  • PHP中文网

    PHP中文网2017-05-15 16:52:15

    http://stackoverflow.com/questions/15938730/require-authentication-for-directory-without-one-page-with-passport-js-node-j

    必要auth_basic

    返事
    0
  • PHPz

    PHPz2017-05-15 16:52:15

    セキュリティには影響しません

    たとえば、管理者ページ admin.html 。一般のユーザーが URL を作成してこのページにアクセスできたとしても、正当なトークンがないため、さまざまな操作やデータの取得は失敗します。

    セキュリティはバックグラウンドでのRestfulによるトークンの権限検証のみに依存していることがわかります

    返事
    0
  • キャンセル返事