Neměli byste se přihlašovat na úhlové stránce, protože všechna související data zpracovává javascript, který lze snadno zastavit, ladit a analyzovat.
Lepší způsob by byl:
- Vytvořte normální soubor index.php, který uživateli nabídne přihlašovací formulář.
- Při odeslání zkontrolujte platnost ve vaší databázi.
- Pokud je uživatel platný, spusťte relaci a
header
na skutečnou stránku aplikace Angular. - Jediný způsob, jak zkontrolovat, zda se jedná o platnou
php session
je ve vašemREST
volání přes úhlovéhttp
služby pro skripty PHP související s vaší databází. - Takže každý přístup pro čtení/zápis do vašeho
REST api
měli byste zkontrolovat, zda tento uživatel skutečně může provádět tuto operaci db ve skriptu php. - Pokud se kontrola nezdaří,
header
zpět na přihlašovací stránku nebo nějaké "Mám tě!" stránku.
Tímto způsobem může útočník vidět js kód úhlové aplikace (pokud se nějakým způsobem dostane ke skutečné adrese), ale je mu to zcela k ničemu, protože nikdy neuvidí skutečná data, dokud nezačal. platnou php session
. A data jsou to, co chcete chránit, nikoli skript aplikace.
Stručně řečeno:Smíchejte standardní validaci PHP A Angular. Umožněte haxorům dostat se na vaši stránku, ale nikdy, nikdy jim neukazujte žádná z vašich podkladových dat. Jakmile se někdo pokusí nepořádek s vašimi daty, vykopněte ho.
Toto je téměř stejná odpověď, jakou jsem dal zde
Vyhledejte označená klíčová slova na stránkách PHP i Angular, abyste pochopili myšlenku, která je za tím.