我目前正在研究一个项目的角度4。我熟悉有角度的防护装置。我的问题是,因为角度4是一个客户端框架,我们不能通过检查浏览器窗口来攻击auth-guard来访问页面,因为打字稿被发送到javascript或者auth-guard服务器是任意机会。
答案 0 :(得分:1)
"永远不要相信客户" - 有人纠正我,但Angular只是客户端。 Guards可以帮助您实现安全性,主要是在API的情况下使用JSON Web Token。
您应始终在服务器端具有安全性。这种情况不是例外。
如果您不在服务器端进行检查,任何人都可以执行http请求并获得200(成功)。
答案 1 :(得分:0)
Guard是一种组织UI逻辑的便捷方式:显示/隐藏某些部分(可能,除其他外,基于从服务器获取的用户权限)。此外,他们还可以预加载某些组件所需的数据。
在安全方面,警卫当然可以轻易地覆盖。因此,正如有人提到的那样,“永远不要信任客户端”,您的服务器应该根据您使用的cookie,令牌或任何身份验证/授权机制实施实际的访问策略和权限检查。
答案 2 :(得分:0)
客户端。
这取决于。框架(角度)有加密器,代码缩小器和其他验证器,使黑客有点困难,但它仍然不是完全安全的。
有些人将验证变量放在localStorage中,这很糟糕。其他人,把全局变量放在一些服务文件中。这也是非常不安全的。
最好的方法是创建一个在后端进行验证的服务。