javascript - 如何在 angularjs 应用程序中实现安全 (!) 身份验证系统？

Question

我是 angularjs 的新手...

我阅读了文档，并完成了教程；我自己也尝试了其他东西，我开始明白了。

现在我想知道如何制作一个安全的身份验证系统。

简单的部分:没有代码，我将描述我的代码执行的操作:

I've a classic form: username, and password text input.

The user fills the form, and press ENTER.

An ajax request starts, and the response is a JSON telling me something like "ok i know you" or "i don't know who you are".

我现在需要的是在我的应用程序的不同 View 之间维护访问者的登录状态(或未登录)。

我在网上看到，为了达到这个目的，有人设置了一个变量($scope.isLogged = true)，有人使用cookies；但是 javascript 变量和 cookie 可以使用 firebug 或类似的开发工具轻松编辑。

...最后是问题:

那么，您有什么建议可以在 angularjs 应用中实现安全的身份验证系统吗？

Answer 1

你不能在angularjs中授权任何东西，因为用户对执行环境(即浏览器)有完全的控制权。每张支票、案例、if——任何你能想到的——都可以被篡改。有一些 javascript 库使用非对称 key 执行本地加密以在某种程度上安全地存储本地数据，但它们并不是您要找的，真的。

你可以，而且你应该，授权服务器上的东西——你在普通应用程序中的标准方式——使用 session ；不需要特殊代码，ajax 调用使用普通 session cookie。应用程序不需要知道它是否经过身份验证。它只需要检查服务器的想法。

从您的 angularjs 应用程序的 Angular 来看，“登录”或“注销”对用户来说仅仅是一个 gui 提示。