Angular.js app - api secruity
[英]Angular.js app - api secruity
问题描述
我们目前正在制作和角度应用程序。 所有信息都来自api。
我们不希望在客户端使用cookie等存储任何状态。因此,当用户刷新应用程序时,我们计划调用/account/details如果登录将返回用户对象,而不是false。
问题是,我们使用的安全模型是我们在任何api请求的标头中设置一个auth-token (从上面的/account/details或成功/login调用中作为用户对象的一部分返回)。
api检查标头中发送的此auth-token与logged-in-users表中的内容匹配,如果匹配则返回数据。
显然,问题是,在刷新时我们没有保存任何客户端,所以不要让这个auth-token再发送。
api,因为它在同一个域上设置了一个php会话cookie。 我们认为这个account/details来电我们能满足对会话cookie值logged-in-users表。 然而,这对我们来说听起来很狡猾。 这样可以吗? 或者还有另一种更简单的方法可以克服鸡肉和鸡蛋的情况吗?
1 个解决方案
解决方案1
2 已采纳 2013-09-19 03:24:05
您可以考虑让应用程序使用sessionStorage来存储身份验证令牌。 这具有您正在寻找的cookie的优点,但是由JavaScript维护,不会自动发送到服务器。
如何考虑Angular.js应用程序使用的REST-api的设计和目的
[英]How to think about the design and purpose of a REST-api consumed by an Angular.js app
使用$ http.get的Angular.js $ resource显示JSON API的结果
[英]Using Angular.js $resource of $http.get to display results from json API
如何使用angular.js $ http服务在PHP后端API中“命中”特定功能?
[英]How to 'hit' specific function in PHP backend API with angular.js $http service?
声明:本站的技术帖子网页,遵循CC BY-SA 4.0协议,如果您需要转载,请注明本站网址或者原文地址。任何问题请咨询:yoyou2525@163.com.
相关问题
Angular.js应用程序的身份验证API
Angular.JS $ http API请求
Node.js Provider Rest API和angular.js Web应用程序
使用 ADFS 和 Angular.js 进行 API 身份验证
如何考虑Angular.js应用程序使用的REST-api的设计和目的
使用API中的$ http.get进行Angular.js本地开发
WP JSON API Angular.js用户登录
Node.js,Express.js,Angular.js:托管我自己的 API
使用$ http.get的Angular.js $ resource显示JSON API的结果
如何使用angular.js $ http服务在PHP后端API中“命中”特定功能?
相关标签