我目前正在项目上的Angular 4工作。我熟悉角度授课。我的问题是,因为Angular 4是客户端侧框架,我们无法通过检查浏览器窗口来访问auth-guard以访问页面,因为Typescript被转移到JavaScript或air air auth-guard Server均位于任何机会。
"永远不要相信客户" - 有人纠正我,但Angular只是客户的领域。警卫在这里可以帮助您实现安全性,主要是在API的情况下使用JSON Web令牌。
您应该始终在服务器端具有安全性。这种情况不是例外。
如果您不检查服务器端,任何人都可以执行HTTP请求并获得200(成功)。
客户端。
这取决于。该框架(Angular)具有加密型,代码缩影和其他验证器,使黑客变得有点困难,但仍然并不完全安全。
有些人将验证变量放在本地存储中,这太可怕了。其他,将全局变量放入某些服务文件中。这也是非常不安全的。
最好的方法是创建一个服务以在后端验证。
护罩是您组织UI逻辑的便捷方法:显示/隐藏某些零件(可能是根据从服务器获得的用户权限基于用户权限)。另外,它们可以预紧一些组件工作所需的数据。
在安全方面,当然,警卫可以很容易地被超越。因此,正如某人已经提到的那样,"永远不要相信客户端",您的服务器应基于Cookie,代币或您使用的任何身份验证/授权机制来实现实际访问策略和权限检查。