Мы разрабатываем систему с использованием AngularJS
и PHP
. У меня есть некоторые проблемы с безопасностью по вопросу аутентификации. Я написал базовую аутентификацию, основанную на нескольких разных примерах в Интернете (я только начал изучать Angular), которая использует базу данных через вызовы API REST. На некоторых маршрутах он проверяет информацию о пользователе существует, прежде чем он создает обещание, но у меня есть несколько вопросов:Защита от AngularJS при аутентификации
Can информация о сеансе храниться в
$window.sessionStorage
или$cookieStorage
без клиента будучи в состоянии изменить эти значения или должны Я держу их на стороне сервера с PHP$_SESSION
и извлекаю их оттуда, никогда не сохраняя их нигде в JS? Информация сессии может содержать uid, роль, адрес электронной почты и имяМогу ли я сохранить значение, например,
$rootScope.role
или$scope.role
, если у клиента нет возможности изменить это значение? Скажем, например, у нас есть несколько уровней учетных записей пользователей, где супер-админ является самым высоким. Если я создам маршрут с разрешением, который будет проверять уровень$rootScope.role
, может ли начинающий изменить значение$rootScope.role
на супер-админ, получая доступ к ограниченным разделам бэкэнд?Должен ли я выполнять проверку GET/сеанса на каждом маршруте, который получает данные
$_SESSION
, чтобы действительно убедиться, что эти данные остаются нетронутыми?Или я просто параноик?
Благодарим вас за ответ, но вы неправильно поняли меня, когда я говорил о новичках. Я не имел в виду уровень навыков пользователей, но уровень учетной записи пользователя. Я приму свой ответ и соответствующим образом настрою свой код. – Rcls