angularjs - 使用 AngularJS 进行身份验证、使用 REST Api WS 进行 session 管理和安全问题

Question

我开始使用 angularJS 开发一个网络应用程序，但我不确定一切是否都安全(客户端和服务器端)。安全性基于单个登录页面，如果凭据检查正常，我的服务器会发回具有自定义时间有效性的唯一 token 。所有其他 REST api 都可以通过此 token 访问。应用程序(客户端)浏览到我的入口点例如:https://www.example.com/home.html用户插入凭据并接收回唯一的 token 。这个唯一的 token 通过 AES 或其他安全技术存储在服务器数据库中，它不是以明文格式存储的。

从现在开始，我的 AngluarJS 应用程序将使用此 token 对所有公开的 REST Api 进行身份验证。

我正在考虑将 token 临时存储在自定义 http cookie 中；基本上，当服务器验证凭据时，它会发回一个新的 cookie Ex。

app-token : AIXOLQRYIlWTXOLQRYI3XOLQXOLQRYIRYIFD0T

cookie 具有 secure和 HTTP Only标志已设置。Http协议(protocol)直接管理新的cookie并存储它。连续的请求将呈现带有新参数的cookie，而不需要使用javascript对其进行管理和存储；在每次请求时，服务器都会使 token 无效并生成一个新 token 并将其发送回客户端 --> 使用单个 token 防止重放攻击。

当客户端从任何 REST Api 收到 HTTP 状态 401 未经授权响应时， Angular Controller 会清除所有 cookie 并将用户重定向到登录页面。

我是否应该考虑其他方面？将 token 存储在新的 cookie 中还是本地存储中更好？关于如何生成独特的强 token 有什么建议吗？

编辑(改进):

• 我决定使用 HMAC-SHA256 作为 session token 生成器，有效期为 20 分钟。我生成一个随机 32 字节 GUID，附加一个时间戳并通过提供 40 字节 key 来计算 HASH-SHA256。由于 token 有效性非常低，因此几乎不可能获得冲突。
• Cookie 将具有 domain and path属性以提高安全性。
• 不允许多次登录。

Answer 1

如果您通过 https 与服务器通信，则不会遇到重放攻击的问题。

我的建议是利用服务器的安全技术。例如，JavaEE 具有开箱即用的登录机制、基于 Angular 色的声明性资源保护(您的 REST 端点)等。这些都通过一组 cookie 进行管理，您不必关心存储和存储到期。查看您的服务器/框架已经为您提供了什么。

如果您计划向更广泛的受众(并非专门针对您所服务的基于浏览器的 UI)或其他类型的客户端(例如移动应用程序)公开您的 API，请考虑采用 OAuth。

在我的脑海中，Angular 具有以下安全功能(当它们弹出时会添加更多功能):

CSRF/XSRF 攻击

Angular 支持 CSRF 的开箱即用机制保护。查看 $http docs 。需要服务器端支持。

内容安全政策

Angular 有一种表达式求值模式，它与 CSP 时强制执行的更严格的 JavaScript 运行时兼容。已启用。查看 ng-csp docs .

严格上下文转义

使用 Angular 的新 $sce 功能 (1.2+) 来强化 UI，防止 XSS 攻击等。虽然不太方便，但更安全。查看文档 here .