Questions tagged «angularjs-authentication»

我有一个使用yeoman，grunt和bower创建的AngularJS应用程序。 我有一个登录页面，该页面具有用于检查身份验证的控制器。如果凭据正确，我将重新路由到主页。 app.js 'use strict'; //Define Routing for app angular.module('myApp', []).config(['$routeProvider', '$locationProvider', function($routeProvider,$locationProvider) { $routeProvider .when('/login', { templateUrl: 'login.html', controller: 'LoginController' }) .when('/register', { templateUrl: 'register.html', controller: 'RegisterController' }) .when('/forgotPassword', { templateUrl: 'forgotpassword.html', controller: 'forgotController' }) .when('/home', { templateUrl: 'views/home.html', controller: 'homeController' }) .otherwise({ redirectTo: '/login' }); // $locationProvider.html5Mode(true); //Remove …

130 javascript  ruby-on-rails  angularjs  angularjs-authentication 

我开始使用angularJS开发Web应用程序，但不确定是否所有内容（客户端和服务器端）都受到正确保护。安全性基于单个登录页面，如果可以对凭据进行检查，则我的服务器将发回具有自定义时间有效性的唯一令牌。所有其他REST api均可通过此令牌访问。该应用程序（客户端）浏览至我的入口点，例如：https : //www.example.com/home.html用户插入凭据并收到唯一令牌。该唯一令牌是使用AES或其他安全技术存储在服务器数据库中的，不是以明文格式存储的。 从现在开始，我的AngluarJS应用将使用此令牌对所有公开的REST Api进行身份验证。 我正在考虑将令牌临时存储在自定义的http cookie中；基本上，当服务器验证凭据时，它将发回新的Cookie Ex。 app-token : AIXOLQRYIlWTXOLQRYI3XOLQXOLQRYIRYIFD0T cookie的安全和HTTP Only标志设置为打开。Http协议直接管理新的cookie并将其存储。连续的请求将向cookie提供带有新参数的cookie，而无需对其进行管理并使用javascript进行存储；在每次请求时，服务器都会使令牌无效并生成一个新令牌，然后将其发送回客户端->防止使用单个令牌进行重放攻击。 当客户端从任何REST Api收到HTTP状态401未经授权的响应时，角度控制器将清除所有cookie，并将用户重定向到登录页面。 我是否应该考虑其他方面？将令牌存储在新的cookie或localStorage中更好吗？关于如何生成独特的强令牌的任何技巧？ 编辑（改进）： 我决定使用HMAC-SHA256作为会话令牌生成器，有效期为20分钟。我生成一个随机的32字节GUID，附加一个时间戳，并通过提供40字节的密钥来计算HASH-SHA256。由于令牌的有效性非常低，因此几乎不可能获得冲突。 Cookie将具有域和路径属性，以提高安全性。 不允许多次登录。

68 angularjs  rest  authentication  cookies  angularjs-authentication