我目前正在使用Mean stack,passportJS和IONIC移动应用框架在我的多平台系统上寻找安全建议。
它由以下组件组成:
基于AngularJs和Ionic Framework的移动应用程序。没有连接到本地 节点/快速服务器。
基于AngularJs的浏览器Web应用程序。 IS连接到本地 节点/快速服务器。
我们计划在本地测试系统后部署的单独API服务器。这包含我们的数据库,API等。
如何验证/与外部API服务器通信
当我们启动项目时,我们让主Web应用程序在单个服务器上运行。当我们计划拥有一个单独的API服务器时,我们慢慢开始模拟客户端外部请求的使用。标准Web应用程序将继续拥有本地节点服务器,但它不包含任何逻辑,只包含本地路由。
但是一旦我们意识到我们的Ionic移动应用程序(显然)没有连接到本地服务器,我们决定采用不同的方法。我的方法是让客户端使用http客户端从外部API服务器请求护照/快速会话。我们不得不手动完成整个身份验证流程中的req。管理节点中间件之外的护照/快速会话没有很好的记录,但我们做到了最好。
最后,我们的流程如下:
当前的问题/想法
虽然我们使用捆绑的Node web服务器和节点http客户端模拟了外部身份验证请求,但我们从未使用AngularJs和$ http的这个仅限客户端的移动应用程序实际完成此操作。我是否应该允许我的VPS的CORS设置中的所有来源并信任护照/快递会话来保护我的客户API?在这种情况下,我应该考虑采用哪些其他安全措施作为程序员。
对此提出建议感兴趣。但请阅读并理解我们在移动应用程序上没有可用的节点/快速服务器。这是该职位的关键。