我有一个Angular系统,只与我的Go后端和Gorilla交谈,我负责登录我的会话。
我开始处理我的管理环境,但我想知道保护角度代码的最佳做法是什么。这对安全性来说并不是一个真正的问题,因为即使管理代码只有逻辑,而不是危险的数据,我仍然不愿意让它对世界上的任何人开放。
我正在考虑做以下事情;
我有一个mux路由器可以捕获我所有的资源调用(使用Yeoman进行部署),我想知道我会为images/admin,scripts/admin和{{1 }}。只有在活动有效会话时才能提供这些路径。否则抛出一个401标题。
这是一个很好的解决方案,还是有更有效的方法来实现这个目标?
答案 0 :(得分:3)
如果您需要一个有效的(并且最好是授权的)会话来获取一些静态资产(即JS代码,样式表,图像......),您需要通过应用程序,您使用的堆栈根本不相关
我要做的是将资源指向由您的应用程序控制的内容,然后返回401或带有X-Sendfile或X-Accel-Redirect标头的空响应,以便卸载实际服务无论你有什么反向代理。