我只是在使用Angular,但我仍在努力寻找最佳(最适合“我的”情况)处理auth和authz的解决方案。在auth方面,我已经看到了很多不同的例子,说明如何使用angularjs应用程序实现这一切。然而,即使在看到所有这些解决方案之后,我也倾向于解决问题,以便登录页面不是SPA的一部分。相反,它将提供一个via服务器端渲染框架。在我的情况下,它将是asp.net mvc,但这是无关紧要的 - 无论技术如何,概念都是一样的。
因此,当首次访问应用程序时,SPA组件将受到保护,并且只有在身份验证后才会将其提供给客户端。我觉得如果你在auth之前提供SPA,它并不是真正安全的。它还从登录视图和逻辑等方面消除了SPA中的一些复杂性。此外,我想我甚至可能想要在SPA之外处理其他非SPA相关活动。现在,我只能看到需要用户/身份验证的东西,但至少在必要时门保持打开状态。
关于authz,我真的无法在SPA中逃避这一点。显然后端API将是安全的,但为了更好的用户体验,我仍然需要SPA中的一些角色概念,这样我就可以检查路由并处理UI组件的可见性。
这种方法是否是其他人成功使用的方法?我有兴趣听到任何成功的故事,但也有任何争论,为什么这可能不是一个好的解决方案。仅供参考 - 我的背景是服务器端开发,具有重载安全要求。这种背景使整个SPA概念难以接受;)