我是整个客户端SPA世界的新手。我正在使用上述技术,这似乎很有前途。然而,一个我无法轻易克服的巨大障碍是缺乏内置安全性。我不得不手动推出用户授权,恕我直言应该是框架的一部分。
现在我已经对它进行了排序,我遇到了垂直安全性的主要问题:一个用户登录但可以通过更改浏览器控制台中的一些参数轻松访问其他用户的信息。我可以在每次调用时传递userId,然后将其与服务器上的那个进行比较,但我希望有一个总体解决方案,不会污染用户ID的微风数据调用。
例如,假设有来自数据服务的调用:
function getItems(){
var query = breeze.EntityQuery.from('Items').expand("Person");
return manager.executeQuery(query);
}
这将得到所有项目,不好。所以让我们限制userId:
function getItems(userId){
var query = breeze.EntityQuery.from('Items').where("userId", "==", authentication.userId).expand("Person");
return manager.executeQuery(query);
}
在第二个示例中,我们从身份验证服务获取userId,该服务在用户登录时存储了userId。但是,恶意用户可以轻松访问浏览器控制台并更改该值。
当然,我可以使用withParameters(...)传递userId并将其与服务器上的当前版本进行比较,但我必须为每次调用执行此操作,这似乎不正确。有没有更好的方法来保护具有可信用户ID的呼叫?
答案 0 :(得分:12)
例如,你研究过ASP.NET Breeze/Knockout Template吗?它使用Forms Auth进行身份验证,并使用[Authorize]属性保护Web API控制器。只有登录用户才能访问任何控制器方法。
该身份验证还设置Web API控制器通过其IPrincipal属性提供的User。您会看到User已传递给TodoRepository的构造函数。在该存储库中,您将找到限制查询的保护逻辑,并将其保存到属于请求用户的Todo信息。
查看网络流量。您将无法在URL或请求/响应正文中找到任何用户标识信息。您将在标题中看到加密的身份验证Cookie。
示例中的一个明显缺陷是客户端/服务器流量以明文形式发生。您必须在开始生产之前添加传输级别安全性(HTTPS)。但毕竟这是一个演示。
答案 1 :(得分:2)
为什么不在控制器中执行此操作? 如果使用[授权]保护Web Api,则可以在控制器中获取用户ID,并确保返回的数据是针对当前登录的用户。