我目前正在开发一个角度2的应用程序。所有服务器端逻辑都使用REST API完成。
检查所有需要身份验证/授权的API以查找会话cookie(以及其他内容)
但是目前静态角度2 js文件没有这样的限制。 例如。 在控制面板页面上,当我使用Web API DELETE example.com/user/1时,请求在删除用户之前已经过适当的身份验证和授权,但页面本身仍然可以作为静态资源访问。
虽然用户无法在没有身份验证/授权的情况下执行服务器端逻辑,但是将静态文件传递给他是否合适?
答案 0 :(得分:0)
我不认为用户应该看到他未授权查看的内容,甚至是静态文件。 您可以使用内置的“canActivate”#39;角度路由器的实现。 基本上,它是在加载组件之前运行的服务,您可以检查用户是否进行身份验证并加载组件,或者可能将他路由到登录页面。
您可以在官方文档here中详细了解它。