我们计划实施一个AngularJS Web应用程序,通过REST服务层与业务组件进行通信。 Web应用程序需要提供身份验证机制。 例如,我们特别关注用户身份验证过程,因为Angular代码实际上可供其客户端上的用户使用。
我们如何确保在初始身份验证过程之后对用户进行身份验证(在JSP / PHP中我们会使用会话)?
你能告诉我们一些专业人士吗?和缺点?答案 0 :(得分:0)
您的正确客户端代码可通过标准浏览器开发人员工具获得,查看和编辑。如果您的公司对您的软件进行任何类型的安全审核,您会发现出于安全原因,处理是在客户端代码视图之外的服务器端完成的。我所工作过的公司已采用这种方法来信任从客户端发送到服务器的任何内容。
在服务器端,REST层通常包含一个身份验证层,该层将在何时冒泡回客户端。
- 会话无效 - 进行休息调用的权限不正确 - 无效的REST args - 防止脚本插入文本字段 -etc ...
答案 1 :(得分:0)