【问题标题】:How safe are angular route guards? [duplicate]角度路线守卫有多安全? [复制]
【发布时间】:2017-11-30 15:23:24
【问题描述】:

我正在创建一个在线商店,并且有一个管理部分,您可以在其中跟踪订单并修改它们。

它受到身份验证的保护,这是在节点服务器上完成的,密码被散列到数据库等中,但我担心路由保护仍然被绕过。

【问题讨论】:

    标签: node.js mongodb angular typescript angular-router-guards


    【解决方案1】:

    应该担心。

    路由保护提供完全零安全性,就像您在客户端实施的其他任何东西一样。 你在客户端实现的东西只能是为了用户方便,而不是为了安全。

    您需要在服务器端强制执行安全性。

    【讨论】:

    • +1。只是好奇我们如何在侧面实施安全措施,以便我们可以绝对确定用户无法查看他们无权访问的路线?
    • 不确定你的意思。无法在浏览器中强制执行任何操作。您可以随时修改源代码,甚至构建自己的客户端。如果你的意思是不考虑用户修改源,那么路由守卫就足够安全了。
    • 抱歉,我愚蠢的错字。我的意思是我们如何在服务器端强制执行安全性,以便我们可以绝对确定用户无法查看他们不应该查看的内容?例如:假设我有一个超级安全的 API。这并不能阻止用户使用 Javascript 并欺骗路由器守卫查看受保护页面的 UI(当然数据受到保护。但他们不能只看到该页面的结构)。或者他们甚至可以这样做吗?
    • 我不明白你为什么要阻止别人看到应用程序结构。应该可以使用延迟加载来拆分您的应用程序,例如用户和管理员部分,并防止非管理员用户在 Web 服务器中下载该部分。如果您延迟加载模块,那么 Angular 应该在您构建应用程序时将它们拆分为不同的文件。
    • 完全正确。我想说的是管理部分与非管理部分。所以是的,你的例子是有道理的。所以延迟加载是要走的路。感谢您的耐心回复。
    猜你喜欢
    • 1970-01-01
    • 2021-12-07
    • 1970-01-01
    • 2020-01-28
    • 2017-01-15
    • 2020-08-03
    • 1970-01-01
    • 2010-10-21
    • 2022-08-11
    相关资源
    最近更新 更多