आपको कोणीय पृष्ठ पर लॉगिन नहीं करना चाहिए क्योंकि संबंधित सभी डेटा जावास्क्रिप्ट द्वारा नियंत्रित किया जाता है जिसे आसानी से रोका जा सकता है, डीबग किया जा सकता है और विश्लेषण किया जा सकता है।
बेहतर तरीका होगा:
- एक सामान्य index.php बनाएं जो उपयोगकर्ता को एक लॉगिन फ़ॉर्म प्रस्तुत करता है।
- अपने डेटाबेस के साथ वैधता के लिए चेक सबमिट करने पर।
- यदि उपयोगकर्ता वैध है तो एक सत्र शुरू करें और
header
वास्तविक कोणीय ऐप पृष्ठ पर। - यह जांचने का एकमात्र तरीका है कि क्या यह एक मान्य
php session
है आपकेREST
. में है कोणीय के माध्यम से कॉलhttp
आपके डेटाबेस से संबंधित php स्क्रिप्ट के लिए सेवा। - इसलिए प्रत्येक पढ़ने/लिखने के लिए आपके
REST api
. तक पहुंच जांच करनी चाहिए, अगर इस उपयोगकर्ता को वास्तव में PHP स्क्रिप्ट में इस डीबी ऑपरेशन को करने की अनुमति है। - यदि चेक विफल हो जाता है, तो
header
लॉगिन पृष्ठ पर वापस जाएं या कुछ "समझ गए!" पेज.
इस तरह हमलावर कोणीय ऐप के जेएस कोड को देखने में सक्षम हो सकता है (यदि वह किसी तरह वास्तविक पते को पकड़ लेता है) लेकिन यह उसके लिए पूरी तरह से बेकार है, क्योंकि वह तब तक वास्तविक डेटा कभी नहीं देख सकता जब तक उसने शुरू नहीं किया था एक मान्य php session
. और डेटा वह है जिसे आप सुरक्षित रखना चाहते हैं, ऐप की स्क्रिप्ट नहीं।
संक्षेप में:मानक PHP सत्यापन और कोणीय को मिलाएं। हैक्सर को आपके पृष्ठ पर आने दें, लेकिन कभी भी उन्हें अपना कोई भी अंतर्निहित डेटा न दिखाएं। जैसे ही कोई आपके डेटा के साथ खिलवाड़ करने की कोशिश करता है, उसे बाहर कर दें।
यह लगभग वही उत्तर है जो मैंने दिया था लॉगिन-विफल/21573893#21573893">यहां
इसके पीछे के विचार को समझने के लिए PHP और कोणीय दोनों साइटों में चिह्नित कीवर्ड खोजें।