在最后几天,我在Angular中阅读了很多有关UI-Rout的授权。但是对我来说并不清楚:
为什么我不应该将php文件(index.php)用作水疗中心,该水疗中心本身可以进行身份验证。这意味着通过执行文件,如果用户登录了脚本。如果将在网站上执行的每项操作(获取或存储任何数据),则脚本检查用户是否有权为此。如果不是这种情况,则用户必须再次记录。
这个想法有什么问题,因为我认为在JS站点上进行登录是不安全的?
这是您不想在不同服务器上扩展应用程序时的默认方法。继续前进,它将保持简单。
仅当您必须在几个Web服务器(带有LoadBalancer的前期)之间扩展应用程序,或者如果您在某个地方有REST-API(将执行auth),则需要其他stretegies。
,如上一个答案中所述:问题是有状态会话的可扩展性。
这也意味着您的发电机必须在您的角度应用程序加载之前呈现响应。这样可以防止您创建"编译"或"静态"角应用程序,如果自上次使用以来没有更改,则可以从浏览器的HTTP缓存中快速提供。
替代方案?令牌身份验证,该身份验证使用无状态的,自签名的令牌从前端向您的后端提出了非常api的请求。我在这里写了有关它们的文章:单页应用程序(SPA)的基于令牌的身份验证