Verhindern Sie den Zugriff auf admin-Seiten in AngularJS

Frage ich mich, was der beste Ansatz in AngularJS ist die sichere admin-Seiten, d.h. Seiten, die normale Benutzer sollten nicht in der Lage, um zu sehen. Natürlich, es wird sein back-end-Authentifizierung, die aber seit der AngularJS-app ist der client-Seite könnte man noch theoretisch Blick auf die routing-und diese URLs zu gehen, direkt und Blick auf den admin-Seiten.

Ich bin mit Express, PassportJS & MongoDB (Mungo) wie mein backend. Natürlich, Sie wäre nicht in der Lage zu interagieren mit den admin-Seiten, da gibt es server-seitige Authentifizierung auf erstellen, löschen, ... aber ich würde viel lieber auch nicht dienen, die Seiten auf den Benutzer, wenn Sie nicht den richtigen Zugang. Da die app vollständig clientseitige JS-obwohl, ich denke, das ist irgendwie unmöglich, da die Menschen können einfach ändern Sie die routing-und so weiter. Was ist der beste Weg zu gehen über diese? Vielen Dank für jede Eingabe!

  • beste Weg wäre, um diesem Ansatz Folgen stackoverflow.com/questions/16139660/...
  • Sie dienen nicht der Nutzer, was der Benutzer nicht sehen soll: <?php if (!$_SESSION['user_id'] { forward(/user/access); }) ?>
InformationsquelleAutor thomastuts | 2013-09-22
  1. 4

    Ich würde setzen Sie ein Häkchen im inneren routeProvider. Dies hat zu erfolgen für jede route, die eine Authentifizierung erfordert. Sie können sogar schreiben Sie eine eigene Methode und kleben Sie es auf jeder route, um Doppelarbeit zu vermeiden.

    $routeProvider
.when('/profile', {
  templateUrl: 'views/profile.html',
  controller: 'ProfileCtrl',
  resolve: {
    validate: function($q, $location) {
      //Either you could maintain an array of hashes on client side
      //a user do not have access to without login
      //Or hit the backend url to check it more securely
      var validateAccess = $q.defer();
      var isAllowed = ['profile', 'index', 'dashboard'].indexOf($location.hash()) !== -1;

      if (!isAllowed) {
        $location.path('/login');
      }

      validateAccess.resolve();
      return validateAccess.promise;
    }
  }
})
.otherwise({
  redirectTo: '/'
});
    • Das wäre nicht wirklich lösen nichts, oder? Sie benötigen noch die html - /css-Code für die admin-Seiten manuell.
    InformationsquelleAutor codef0rmer
  2. 2

    Diese Frage ist ein bisschen alt, aber wenn jemand auf der Suche für eine Lösung gibt , und ich war mit einer Ressource-Datei zu speichern, meine html-templates und dann rufen Sie es mit webapi beim überprüfen der Berechtigung und gibt die html -, nur wenn der Benutzer authentifiziert.

    InformationsquelleAutor codeman
  3. 0

    Warum würden Sie "viel lieber" nicht zu dienen, diese Seiten zu non-admin Benutzer? Haben Sie einen tatsächlichen Grund zur Sorge über diese, anders als irgendein Instinkt, dass Sie sollten aufhören, Menschen, die Dinge sehen, Sie sind nicht "angeblich" zu sehen?

    Wenn Ihr die Sicherheit ordnungsgemäß konfiguriert ist, dann nicht-admin-Benutzer keinen Zugriff auf admin-Daten, oder führen Sie admin-Operationen. Das ist das, was Sie sollten sich darauf konzentrieren, nicht zu erfinden kunstvolle Art und Weise, Sie zu stoppen, zu sehen, admin-Bildschirme, die Sie nicht verwenden können, sowieso. Jede Zeit, die Sie auf das ist im Grunde Verschwendete Zeit, und Sie sollten sich auf wichtigere Dinge.

    • Sorry, aber ich kann nicht glauben, dass diese Antwort und die Tatsache, es wurde gewählt und gewählt. Ich arbeite auf die Sicherheit von Informationen und der Hölle, die Frage ist gut, und die Antwort ist sinnlos. Leute, bitte, einfache Lösung, zumindest... htdocs und bewerten Sie die Zugriffsrechte für die Ressource vor dem servieren...
    • Sie behaupten, dass es "sinnlos" aber machen Sie kein Gegenargument. Was empfindlich ist, Ihre Daten, nicht den HTML-Code in Ihre admin-Seiten. Jede Anstrengung, die Mühe, die Sicherung des letzteren ist mit Sicherheit Theater, die nichts tut, und ist eine Verschwendung von Ihre Zeit und Ihr Arbeitgeber das Geld.
    • Ich habe Mitarbeiter, nicht der Arbeitgeber, wie ich ein Unternehmen haben. Aber kommen wir zurück zu dem Punkt, mein Freund. Die Weitergabe von Informationen ist eine Sicherheitslücke, die Offenlegung geschützter Bereich, auch die visuelle Oberfläche von etwas, was nicht gesehen werden sollte, ist ein Fehler, zu und könnten dazu führen, social-engineering-unter anderen Arten von Angriffen, sollte man nicht die Offenlegung von Informationen, wie eine Anwendung funktioniert, wenn der Benutzer nicht sehen soll es. Referenz: Wir arbeiten mit Banken und mehrere Sicherheitsstandards. Wenn Sie Winkel auf ein blog, das ist in Ordnung. Aber es ist nicht eine gute Praxis auf allen.
    • Dann sind Sie verschwenden Sie Ihr eigenes Geld. Offenlegung von sensible information ist eine Sicherheitslücke. Es sollte absolut nichts sensibles über die Benutzeroberfläche Ihrer Anwendung, und wenn es dann sein ein Designfehler. Je kleiner und einfacher Ihre Anwendung Sicherheitsmodell, desto leichter ist es zu Grunde geht, und für Ihre Richtigkeit. Alles, was Sie fügen Sie einen nicht-null-Kosten in Entwicklung und Wartung, und durch den Versuch zur Einführung einer engen Sicherheits-Modell in Ihren Präsentations-Schicht, Sie dienen nur zu erschweren, seine design-und Risiko-übertapezieren mehr gravierende Mängel auf API-Ebene.
    • Das ist okay, Mann, ich bin nicht einverstanden, kein Kunde würde je akzeptieren eine online-banking-Anwendung, wo ein hacker konnte sehen, wie die visuelle Schnittstelle von einem begrenzten Gebiet, es ist so einfach wie die Einrichtung einer wenn(Benutzer eingeloggt), bevor die UI. Nichts persönliches Mann, aber ein wichtiger Kunde nie akzeptieren würde eine Lösung wie "es ist nicht sensible Informationen, es ist nur ein paar divs". Das ist mein letztes Wort bro, ich glaube, ich habe bereits mein Punkt. Für diejenigen die es interessiert, wenn(Benutzer eingeloggt ist) -> senden eckig, sonst, 302.
    • Ich denke, dies sind die gleichen Banken, die das ablehnen, meine Passwörter als "zu lang"? Sicherheits-Praktiken getrieben von uninformierten Kunden Vorurteile eher als Rationalität sind Teil der Grund, warum software-Sicherheit ist in solch einem schlechten Zustand, mit Datendiebstahl an der Tagesordnung. Es ist unsere Aufgabe als software-Profis herausfordern falsche, irrationale oder unangemessene Praktiken, nicht Kotau, um Sie für ein leichteres Leben.
    • Auch das nicht helfen oder die Frage zu beantworten. Er ist nicht von uns verlangt, seine UX (einschließlich welche Seiten sind für wen sichtbar), aber wie um diese Funktion zu implementieren, mithilfe Anguilar.
    • Nein, er ist in seinen eigenen Worten, "Fragen, was der beste Ansatz" ist. Der beste Ansatz ist, nicht zu befürchten Sicherung unempfindlich UI assets, und konzentrieren sich auf die Sicherung sensibler Daten.

    InformationsquelleAutor Jon Rimmer
  4. 0

    Den Weg, den ich tun ist, legen Sie die angularJS html in JSP-Seite und überprüfen Sie Sitzung. Falls die session überprüft, den Zugang bereitzustellen.
    Ich bin nicht sicher, ob das ist der richtige Weg.
    Ein anderer Weg ist, nicht JSP, sondern bei jedem API-Treffer, überprüfen Sie die Sitzung auf dem server, sonst false zurück.
    Eine weitere Möglichkeit ist, auf der ersten Anmeldung erhalten Sie eine automatisch generierte key, Speicher am server und client beide, überprüfen Sie auf jedem API-Treffer.

    InformationsquelleAutor sachin
  6. -1

    Ich Stimme mit Chris Russo ' s betrifft. Das ist alles über Sicherheit in Frage. Wenn Sie mit Winkel für Ihren front-end -, dann müssen Sie einen Rahmen, der eine starke Fähigkeit, bei der Sicherung Ihrer Anwendung, wenn jemand versucht, einen Angriff auf Ihren web-Website/- Anwendung. Ich empfehle das spring-framework (spring_security) es hat sich bewährt, verfügen über die Sicherung Ihrer web-Anwendung. Sie müssen Rollen zuweisen, um jeden Benutzer wie ROLE_USER oder ROLE_ADMIN. Ich werde nicht Graben in die Details, wie es zu tun, aber dies wird helfen, um gelöst zu Ihrem Anliegen. 🙂

    InformationsquelleAutor rico
Schreibe einen Kommentar