我的问题与将身份验证令牌存储在Local Storage中是否安全不同。我已经决定这样做了。我有canActivate方法,该方法可以保护未登录用户无法访问的路由。
我只是检查令牌-它是否存在于Local Storage中。如果是,我将用户导航到该路线。
我的问题是,如果有人在我的本地存储中注入令牌,只出现了一些字符串-它会自动访问路由? 我联系API没问题,因为所有API均已获得令牌和角色的授权。但是我有一个问题,有人可以进入所有针对注册用户的路线。
我考虑添加Authorized Api,然后在每个canActivate上检查API是否为令牌有效。
其他问题,我在哪里可以存储登录时从API返回的角色?因为我需要它们来决定为哪个用户打开哪个路由。我认为,如果将其存储在Local Storage中,我也会遇到相同的问题(注入角色)。
答案 0 :(得分:0)
好吧,如果您登录时获得令牌,作为响应,并将其存储在存储中(我认为您应该使用会话存储),如果您输入无效的令牌,则在任何api调用中都会出现错误,只需处理清空存储空间并导航到您登录或其他错误的错误