我使用MEAN堆栈开发了一个应用程序,用户可以在其中注册和登录。一段时间后,当用户返回到应用程序时,我可以使用Express Session识别它,但是我希望他通过在允许访问该应用程序之前输入密码(或PIN)来确认其身份。
因此,我对API进行了HTTP调用(通过密码或密码),该API将返回true或false以允许访问该页面。
非常感谢您!
编辑:正如@bsheps所指出的那样,实施AuthGuard解决了第二点,即手动修改访问保留页面的路由。
我仍然必须找到关于第一点的答案。即使在调用HTTPS端点时,也可以有人调试代码和网络请求来编辑从服务器收到的响应吗?
答案 0 :(得分:1)
HTTP是用纯文本编写的,并不安全。如果有人拦截了您的通讯(中间人攻击),他们可以用明文读取您的密码/密码。此外,由于它是纯文本,因此他们也可以对其进行编辑。因此,应该通过HTTPS发送密码。
可以操纵URL中的路由。为了解决这个问题,您可以为您的应用程序设置一个authGuard,它将在定向到特定页面之前验证登录名。
这是一个简单的示例,可帮助您入门: https://alligator.io/angular/route-guards/
希望这会有所帮助!