Comment atteindre un Coffre-fort (!) système d'authentification dans une application angularjs?

Je suis nouveau avec angularjs...

J'ai lu les docs, et terminé le tutoriel, mais j'ai aussi essayé autre chose par moi-même, et les choses commencent à faire sens pour moi.

Maintenant je me demande comment faire un sécurité système d'authentification.

La partie la plus facile: pas de code, je vais décrire les opérations de mon code à exécuter:

J'ai une forme classique: le nom d'utilisateur et le mot de passe de saisie de texte.

L'utilisateur remplit le formulaire et appuyez sur ENTRÉE.

Une requête ajax commence, et la réponse est un JSON me disant
quelque chose comme "ok, je sais que vous" ou "je ne sais pas qui vous êtes".

Ce que j'ai besoin maintenant, c'est à mantain connecté statut du visiteur (ou non connecté) entre les différents points de vue de ma demande.

J'ai lu sur internet que, pour atteindre cet objectif, quelqu'un met une variable ($champ d'application.isLogged = true), quelqu'un d'autre utilise des cookies; mais variables javascript et les cookies peuvent être facilement modifiés à l'aide de firebug, ou similaire, des outils de développement.

... et, enfin, à la question:

Donc, avez-vous des suggestion pour atteindre un coffre-fort système d'authentification dans une application angularjs?

InformationsquelleAutor Bruno | 2013-02-09

54

Vous ne pouvez pas autoriser quoi que ce soit dans angularjs, parce que l'utilisateur a le plein contrôle de l'environnement d'exécution (à savoir, le navigateur). Chaque case, cas, si tout ce que vous pouvez penser - peut être altéré. Il y a des bibliothèques javascript qui utilisent des clés asymétriques pour effectuer le chiffrement local pour stocker les données locales à peu près en sécurité, mais ils ne sont pas ce que vous cherchez, vraiment.

Vous le pouvez, et vous devez autoriser des choses sur le serveur - le standard de la façon dont vous le feriez dans une application ordinaire - à l'aide de session; aucun code spécial n'est nécessaire, les appels ajax utilisation ordinaire des cookies de session. L'Application n'a pas besoin de savoir si c'est authentifié ou non. Il a seulement besoin de vérifier que le serveur pense.

Du point de vue de votre application angularjs, d'être "connecté" ou "déconnecté" est simplement une interface graphique de l'indice pour l'utilisateur.
- +1, surtout pour les "du point De vue de votre application angularjs, d'être "connecté" ou "déconnecté" est simplement une interface graphique de l'indice pour l'utilisateur." Si un utilisateur veut toucher à leur environnement d'exécution tels que Angulaires pense qu'ils sont connectés, ainsi soit-il--aussi longtemps que le serveur authentifie toute action qui modifie les données réelles, etc.
- Salut, je vous remercie. Je suis intéressé par votre réponse. Surtout dans la partie où vous mentionnez la session, parce que c'est la manière traditionnelle, j'ai travaillé... j'utilise le PHP comme langage côté serveur... juste une autre question (je n'ai pas le temps de l'essayer personnellement maintenant, mais je vais le faire dès que possible [indipendently de votre réponse, je vous promets 🙂 ]): si lors d'une requête ajax à un ensemble d'une session, puis cette session reste également disponible dans les prochaines demandes, droite?
- oui. "session" est juste un autre mot pour "cookie avec un identifiant" et depuis requêtes ajax partager des cookies avec des demandes normales (et les autres), alors votre côté serveur tout fonctionne.
- Manquant de cette réponse est toute mention de la protection CSRF; si votre API est un cookie qui authentifie l'utilisateur il n'y a rien qui empêche un autre site à partir d'initier une demande sur le compte de l'utilisateur.
- parce qu'il est totalement indifférent à la question. Protection CSRF n'a rien à voir avec angularjs à tous. Je n'ai pas mentionné l'injection SQL, fixation de session, etc pour la même raison, ils n'ajoutent rien angulaire spécifique.
- Je suis en désaccord; la question a été spécifiquement au sujet d'un fort système d'authentification. Les gens à l'utilisation de ressources d'apprentissage et il est important pour au moins le point le plus pertinent pièges.
- La sécurité des applications Web (y compris l'authentification et ses pièges) est un vaste sujet qui ne peut être couvert de façon suffisamment détaillée dans une seule et unique réponse. SI le format n'est pas sur la façon de fournir l'information la plus complète. Au contraire: SI la force est en donnant des réponses précises à des questions précises. La pertinence est la clé. SI vous avez vraiment dire que l'ajout de choses à propos de l'CSRF est important, alors pourquoi ne précisez-vous pas bon hachage de mot de passe? la protection contre le HTML injection? contre la fixation de session? Pourquoi inclure CSRF et pas d'injection SQL?
InformationsquelleAutor fdreger
47

Probablement vous avez trouvé une solution, mais pour l'instant j'ai fait un authenticaiton que je suis en œuvre dans mon Angulaire de l'App.

Sur .exécuter l'application est enregistrée avec une ActiveSession définie sur false.
Il vérifie ensuite si le navigateur a un cookie avec un jeton et un identifiant.

Si OUI, vérifiez jeton+nom d'utilisateur sur le serveur et les mises à jour le jeton sur le serveur et en local (jeton c'est un générées par le serveur de clé unique pour chaque utilisateur)

Si PAS de montre formulaire de connexion, vérifiez les informations d'identification et encore si ils sont valables un serveur de demande t obtenir un nouveau jeton et enregistre localement.

Le jeton est utilisé pour faire une connexion persistante (souvenez-vous de moi pendant 3 semaines) ou lorsque l'utilisateur actualise la page du navigateur.

Merci
- plus un pour prendre question grave, même si cela vient de la personne que vous ne connaissez pas
InformationsquelleAutor Alexandru R
18

J'ai posé cette question il y a trois mois.

Je voudrais partager ce qui est devenu mon préféré approche lorsque j'ai à traiter avec authentification de l'utilisateur dans une application web construit sur AngularJS.

Bien sûr fdreger la réponse est encore une grande réponse!

Vous ne pouvez pas autoriser quoi que ce soit dans angularjs, parce que l'utilisateur a l'entière
le contrôle de l'environnement d'exécution (à savoir, le navigateur).

Du point de vue de votre application angularjs, d'être "connecté"
ou "déconnecté" est simplement une interface graphique de l'indice pour l'utilisateur.

Brièvement ma démarche consiste à:

1) Lier à chaque itinéraire des informations supplémentaires sur la route elle-même.
```
$routeProvider.when('/login', { 
    templateUrl: 'partials/login.html', controller: 'loginCtrl', isFree: true
});
```
2) Utiliser un service de mantain les données relatives à chaque utilisateur, et leur statut d'authentification.
```
services.factory('User', [function() {
    return {
        isLogged: false,
        username: ''
    };
}]);
```
3) Chaque fois que l'utilisateur essaie d'accéder à une nouvelle route, vérifier s'ils ont l'octroi de l'accès.
```
$root.$on('$routeChangeStart', function(event, currRoute, prevRoute){
    //prevRoute.isFree tell me if this route is available for all the users, or only for registered user.
    //User.isLogged tell me if the user is logged
})
```
J'ai également écrit au sujet de cette approche (plus en détail) sur mon blog, les utilisateurs de l'authentification avec angularjs.

InformationsquelleAutor Bruno
4

Tout d'abord: des données côté Client peut toujours être manipulées ou modifiées.

Tant que valide Id de session ne sont pas facilement deviner et ce type de mesures associant les jetons de session avec l'IP du client n'est pas une grosse affaire à ce sujet.

Vous pouvez, en théorie, aussi chiffrer le cookie, aussi longtemps que vous le faites sur le côté serveur.

Pour plus de détails sur la façon de crypter vos cookies, consultez la documentation de votre côté serveur (e.g http://expressjs.com/api.html#res.cookie pour Express.js)
- Tout d'abord, je vous remercie pour votre réponse! Procéder comme vous le suggérez, à chaque fois que les changements de vue, j'ai d'exécuter une requête ajax pour vérifier si la clé de session stockée dans la variable/cookie est le même généré au moment de l'authentification... suis-je le droit? ou il me manque un morceau?
- En gros, pour chaque requête HTTP que des besoins de l'utilisateur pour être authentifié, le serveur vérifie la clé de session lorsque la demande vient. Ensuite si la clé de session n'est pas droit, le serveur peut envoyer un '401 non autorisé" à la place des données que le client voulait.
InformationsquelleAutor geekonaut
0

Vous avez besoin d'apprendre sur le côté serveur /base de données de la fin de celui-ci.

Les connexions de l'utilisateur doivent être stockés quelque part - à 99,9% du temps, c'est dans un de côté de serveur de base de données.

Idéalement pour un système sécurisé, vous voulez un back-end (serveur) le système d'adhésion, qui stocke la session dans une table de base de données qui est liée à la table membre qui détient le mot de passe crypté, mais fournit également une interface RESTful où vous pouvez construire vos appels d'api.

Un Script que j'ai utilisé avec succès beaucoup de choses ont été Amember https://www.amember.com/. C'est vraiment un moyen efficace d'aller bien qu'il existe beaucoup d'autres script, j'ai eu beaucoup de succès avec celui-ci.. C'est aussi le PHP ainsi, vous pouvez construire votre construire une API pour votre angulaire http appels très facilement.

Tous ces frameworks javascript sont grands, mais l'effet est que maintenant, trop nombreux sont trop mettre l'accent sur le front-end de choses à apprendre la base de données /backend ainsi! 🙂

InformationsquelleAutor webmaster_sean

Vous devez vous connecter pour publier un commentaire.