简体中文(ZH-CN)English(EN)繁体中文(ZH-TW)日本語(JA)한국어(KO)Melayu(MS)Français(FR)Deutsch(DE)
Rumah
Artikel
Soal Jawab
Kursus
Topik
Muat turun
Permainan
Kamus
kemas kini terkini

Rumah  >  Soal Jawab  >  teks badan

angular.js - 单页应用的安全问题

背景

后端

nodejs负责后端的逻辑, http服务器是用nginx

前端

使用angularjs搭建

结构

'
+---------+       +-----------+      +--------+    +------+
|         |       |           |      |        |    |      |
|         +------->           +------>        +---->      |
|         |       |           |      |        |    |      |
|         |       |           |      |        |    |      |
| browser |       |   nginx   |      | nodeJs |    |  DB  |
|         |       |           |      |        |    |      |
|         <-------+           <------+        <----+      |
|         |       |           |      |        |    |      |
|         |       |           |      |        |    |      |
+---------+       +--+-----^--+      +--------+    +------+
                     |     |                               
                     |     |                               
                  +--v-----+--+                            
                  |           |                            
                  |           |                            
                  |    HTML   |                            
                  |           |                            
                  |    CSS    |                            
                  |           |                            
                  |    JS     |                            
                  |           |                            
                  +-----------+                    
'

说明

RESTFUL接口肯定是要做权限, 用是token的方式, 后端根据token来判断用户的权限, 然后返回数据。

问题

~~HTML这样的文件有必要加权限的认证吗?比如有些页面是不想直接让人看到的, 但现在很明显, HTML是不经过nodejs验证权限的。~~

那如果范围扩大到一些其他的静态文件, 比如一些doc文件, 那么这个权限判定应该怎么走?

某草草某草草2684 hari yang lalu645

membalas semua(4)saya akan balas

  • 高洛峰

    高洛峰2017-05-15 16:52:15

    Tulis pembolehubah fail penghalaan di tempat pelayan menghantar HTML pertama kepada penyemak imbas selepas log masuk. Apabila log masuk, senaraikan semua fail yang boleh diakses oleh pengguna, tetapkan fail yang tidak boleh diakses kepada 404, dan kemudian ng in Baca fail ini semasa menyediakan penghalaan Jika pengguna mengakses terus laluan yang tidak boleh diakses, halaman 404 akan dipaparkan.
    Anda juga boleh menulis kod pengenalan pengguna dalam fail ini, dan tidak mustahil untuk mengubah suai ajax global melalui ng.

    balas
    0
  • phpcn_u1582

    phpcn_u15822017-05-15 16:52:15

    Saya rasa anda terlalu berfikir Tidak ada perbezaan dalam keselamatan antara aplikasi satu halaman dan halaman web biasa Kedua-duanya menggunakan ajax untuk berinteraksi dengan pelayan
    Bagi RESTful, ia hanyalah gaya seni bina Penggunaan gaya ini tidak akan menyebabkan sebarang perubahan kualitatif kepada keselamatan

    balas
    0
  • PHP中文网

    PHP中文网2017-05-15 16:52:15

    http://stackoverflow.com/questions/15938730/require-authentication-for-directory-except-one-page-with-passport-js-node-j

    你需要auth_basic

    balas
    0
  • PHPz

    PHPz2017-05-15 16:52:15

    Ia tidak memberi kesan kepada keselamatan

    Sebagai contoh, ambil halaman pentadbir admin.html Walaupun pengguna biasa boleh membina URL untuk memasuki halaman ini, pelbagai operasi dan pemerolehan data akan gagal kerana tiada token yang sah.

    Ia boleh dilihat bahawa keselamatan hanya bergantung pada pengesahan kebenaran token dengan tenang di latar belakang

    balas
    0
  • Batalbalas