AngularJS – 服务器端index.html和身份验证

发布时间：2020-12-17 10:22:10 所属栏目：安全来源：网络整理

导读：在观看了AngularJS“Massive AngularJS apps”演示文稿( https://docs.google.com/file/d/0B4F6Csor-S1cNThqekp4NUZCSmc/edit)后, 我试图实现以下方案 1)用户请求index.html(服务器端生成) 2)Flask检查是否存在身份验证cookie 3)如果缺少cookie,重定向到logi

在观看了AngularJS“Massive AngularJS apps”演示文稿( https://docs.google.com/file/d/0B4F6Csor-S1cNThqekp4NUZCSmc/edit)后,
我试图实现以下方案

1)用户请求index.html(服务器端生成)
2)Flask检查是否存在身份验证cookie
3)如果缺少cookie,重定向到login.html(也是生成的服务器端)
4)在登录页面上,POST登录信息.
5)Flask验证用户密码 – >设置cookie,重定向到/
6)Flask检查cookie,检索用户配置文件生成index.html
7)客户端应用程序启动
8)客户端应该调用/ token(带cookie)
9)Flask验证请求,生成新的访问刷新令牌& expires init cookie
10)客户收到令牌&可以使用令牌使用基本身份验证头进行正常的REST调用

我遇到的问题是一旦必须生成index.html,就实现了维护身份验证的方式.
我建议将令牌包含在索引页面的配置文件中(作为javascript变量),当angularjs配置时,将其复制到window.session存储中,但我不太确定它的安全性如何？

这是一个可接受的流量安全明智和/或有更好的方法吗？

编辑：更新的问题添加了我将用作序列图的流程：
编辑2：我注意到我无法重新加载页面,因为cookie将过期,所以我开始怀疑使用访问令牌..

我对问题中提出的复杂性感到困惑.

当我考虑webAPI / RESTful项目的用户安全性时(无论涉及到angularjs / flask),我想到以下数据交换：

>用户(通过其Web浏览器)向Web服务器提交身份验证机密(I.E.用户和密码)
>使用上面的Web服务器：

>创建一个不可原谅的新秘密,它可以解码以识别用户(I.E.签名或加密用户记录,sessionID-that-includes-login-info或user-ref-token)
>将新秘密推送到用户的网络浏览器(I.E.让用户的网络浏览器将其存储为cookie)

>然后通过客户端javascript pulling the cookie包含web-server-secret / cookie并将其包含在URL / data-body中来完成来自客户端的所有未来HTTP / API / REST连接(除了更改用户身份验证机密之外)或者让Web服务器通过正常方式访问cookie

您的问题似乎是在询问我的基本情况之外的多层复杂性,我不明白什么是必要的额外复杂性(特别是您的“问题”文本和您的步骤#9).如果因为角度或烧瓶的某些方面需要这种复杂性(I.E：如果您无法访问cookie,或者您试图减轻其他一些安全问题)请解释.

（编辑：李大同）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!