Javascript 基于身份验证的AngularJS安全
我们正在使用Javascript 基于身份验证的AngularJS安全,javascript,php,angularjs,session,Javascript,Php,Angularjs,Session,我们正在使用AngularJS和PHP开发一个系统。我对认证问题的安全性有些担忧。我编写了一个基于web上多个不同示例的基本身份验证(我只是开始学习Angular),它通过RESTAPI调用使用数据库。在某些路由上,它会在创建承诺之前检查用户信息是否存在,但我有几个问题: 会话信息是否可以存储在$window.sessionStorage或$cookieStorage中,而客户端无法修改这些值,或者我是否应该使用PHP$\u session将它们保存在服务器端,并从那里获取它们,永远不要将它们
AngularJSPHP- 会话信息是否可以存储在
或$window.sessionStorage
中,而客户端无法修改这些值,或者我是否应该使用PHP$cookieStorage
将它们保存在服务器端,并从那里获取它们,永远不要将它们存储在JS中的任何位置?会话信息可以包含uid、角色、电子邮件和名称$\u session - 我是否可以存储一个值,比如说
或$rootScope.role
,而客户端无法修改此值?比如说,我们有多个级别的用户帐户,其中超级管理员是最高级别的。如果我创建了一个路由,其解析将检查$scope.role
级别,新手是否可以将$rootScope.role
值更改为超级管理员,以获得对受限后端部分的访问权限$rootScope.role - 我是否必须对获取会话数据的每个路由执行GET/session检查,以确保该数据保持不变
- 还是我只是偏执狂
- 您不是妄想狂,任何客户端身份验证都应该受到质疑。谈到安全性,您不能假设客户端被禁止或无法在自己的设备上执行任何操作
与安全相关的功能必须位于后端,即您设置和控制的环境
新手可以将$rootScope.role值更改为超级管理员以获得对受限后端部分的访问权限吗
在我看来,问“新手能不能……”这样的问题是徒劳的。您是否只想要针对新手恶意用户的安全性?如果您的“受限后端部分”可以通过修改前端来访问,则说明您做错了。好问题!前端安全需要浏览器和服务器的配合 Javascript是一个不受信任的环境,因此您无法在那里可靠地强制执行任何授权(即,您不能使用
$scopeHttpOnlyHttpOnly免责声明:我在工作,我们为任何应用程序提供安全的托管用户管理解决方案,包括Angular!请参阅以了解更多信息,并查找服务器的SDK。谢谢您的回答,但当我谈到新手时,您误解了我的意思。我指的不是用户技能级别,而是用户帐户级别。我会接受你的回答,并相应地调整我的代码。这个系统的JWT方法可能有点太多,因为我们所有的数据都与用户的id有关,但我们可能会为了实践和未来的使用而实现它。基于令牌的身份验证对PHP上的基本会话或cookie有其他好处,因此值得考虑。不过,我们将忘记在本说明中存储JavaScript。谢谢