我有一组使用 Play Framework 提供的 REST API。我现在将使用 Angular JS 构建一个 UI 层。这是一个用户可以登录的门户应用程序。我现在有两个问题:
Angular JS 应用程序应如何针对 REST API 授权自己?我应该为每个请求授权,还是可以有一些防火墙规则只允许从运行 Angular JS 应用程序的机器访问?
如何管理会话状态? Play 应用程序服务器是纯粹的无状态的,我想让会话状态远离 REST API。所以这让我不得不离开 Angular JS 应用程序的会话状态。这是可取的吗?
【问题讨论】:
标签: angularjs rest session playframework
对于您的身份验证标头,您可以使用拦截器。下面是一个通用代码,可以做得更好:
app.factory('authInterceptor', function ($q, $injector, cookie, $location, models) {
return {
request: function (config) {
config.headers = config.headers || {};
// if this request is not to authenticate or logout, then refresh the existing token (if possible)
if (config.url.indexOf("authenticate") < 0 && config.url.indexOf("logout") < 0 && config.url.indexOf("login") < 0) {
var $http = $injector.get('$http');
$http.post(Config.api + '/authenticate/refresh').success(function (data) { }).error(function (data) { $location.path("/login"); });
}
else
config.headers.Authorization = 'Bearer ' + cookie.getObject(constant.ckAuth).token;
return config || $q.when(config)
},
response: function (response) { return response || $q.when(response); },
responseError: function (response) { return $q.reject(response); }
};
});
您可以使用 JWT 进行身份验证并将其存储在 $rootscope/$scope 中,如果可以使用 $cookies。当尝试在任何客户端对象中存储数据时,您需要了解它在浏览器(控制台)本身中是可见的。所以在 API 端处理智能并尝试使用 Session State。
HttpContext.Current.Session["Auth"]
import requests
s = requests.Session() -- Python Reference
【讨论】:
【讨论】: