我考虑开发在Amazon S3上托管的静态网站。我的文件结构将是
/login.html
/login.js
/hiddenContent/fileA.html
/hiddenContent/fileA.js
该网站本身以Angular 1.X编写,因此它是一个页面应用程序。我现在的问题是:登录应该是公开的,每个人都可以访问此页面。但是/hiddencontent文件夹中的所有内容都只能对身份验证的用户可见。由于其角度,所有内容和控制器都必须在Bootstrap(加载(时间中知道。但是,熟悉Web技术的用户可以看到已经加载的HTML和JS(但没有填充数据(。但这必须避免。我该如何处理这个问题?登录后应加载HTML和控制器JavaScript。使用服务器不是问题,但S3没有任何服务器。
tl; dr:登录后如何将html/javascript加载到水疗中?
您可以在Amazon S3静态网站上执行安全性:
- 预先签名的URL (但这需要一个应用程序来验证用户并生成预先签名的URL(或
- 使用临时AWS凭据(可以通过AWS安全令牌服务生成,但是您再次需要一个应用程序来创建凭据(或
- 通过使用永久AWS凭据(但您不应使用IAM授予对应用程序用户的访问(
底线:如果您没有逻辑层可以检查安全性并生成访问凭据,则无法选择性地保护Amazon S3静态网站。