有沒有安全的方法可以在SPA中使用Basic Auth REST API創建用戶會話?
[英]Is there any secure way to create a user session in a SPA with a Basic Auth REST API?
問題描述
我需要基於AngularJS構建一個單頁應用程序,該應用程序將從REST API中檢索數據。 這些REST服務使用基本身份驗證+ HTTPS進行保護。
有沒有在SPA中提供用戶會話的安全方法? 我的意思是,沒有像令牌提供程序(例如OAuthV2)這樣的額外組件。 我正在考慮在登錄頁面上驗證用戶一段時間內對APP的訪問權限以及注銷操作。
更多問題:
1)基本認證在每個請求上都需要用戶憑證。 但是,SPA不應存儲用於在每個請求上發送用戶憑據的用戶憑據,對嗎? (本地/會話存儲在HTTPS網頁中可見嗎?)
2)在驗證第一個請求后,瀏覽器是否會自動發送基本身份驗證標頭? 然后,有什么方法可以注銷嗎?
非常感謝! 塞爾吉
1 個解決方案
解決方案1
0 已采納 2016-03-15 08:09:48
我很感謝專家的意見,但這似乎可行:
- 用戶在登錄頁面提交其用戶名和密碼。 AngularJS SPA在cookie($ cookiestore)中設置憑據
- SPA使用基本身份驗證調用后端的登錄服務。
- 如果登錄成功,則cookie將存儲憑據,並在每次請求時自動發送。
- 注銷應刪除cookie以刪除用戶的會話。
與本地存儲不同,由於通信由HTTPS保護,因此無法讀取包含用戶憑據的cookie。
如何:將AngularJS基本Auth + Cookie傳遞到REST API服務器?
[英]HowTo: AngularJS Basic Auth + cookie to a REST API server?
在沒有任何令牌的情況下使用快速會話進行用戶身份驗證是否安全?
[英]Is it safe to use express-session without any token for user auth?
NGINX配置:根目錄中的Angular SPA和子文件夾中的Slim REST API
[英]NGINX configuration: Angular SPA in root and Slim REST API in subfolder
AngularJS Rails-api ng-token-auth密碼編輯回調無法創建會話
[英]Angularjs rails-api ng-token-auth password edit callback fails to create session
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何使用Cordova保護SPA和移動應用程序的REST API
沒有用戶身份驗證的安全REST API(無憑據)
如何:將AngularJS基本Auth + Cookie傳遞到REST API服務器?
在沒有任何令牌的情況下使用快速會話進行用戶身份驗證是否安全?
Angular SPA與REST API的關系
發送用戶ID以及任何REST API調用?
如何使用REST_API wordpress創建用戶?
NGINX配置:根目錄中的Angular SPA和子文件夾中的Slim REST API
如何只允許我的SPA調用我的公共休息API?
AngularJS Rails-api ng-token-auth密碼編輯回調無法創建會話
相關標簽