Sie sollten sich nicht auf einer eckigen Seite anmelden, da alle datenbezogenen Daten von Javascript verarbeitet werden, das leicht gestoppt, debuggt und analysiert werden kann.
Der bessere Weg wäre:
- Erstellen Sie eine normale index.php, die dem Benutzer ein Anmeldeformular präsentiert.
- Überprüfen Sie beim Absenden die Gültigkeit mit Ihrer Datenbank.
- Wenn der Benutzer gültig ist, starten Sie eine Sitzung und
headerweiter zur eigentlichen Angle-App-Seite. - Der einzige Weg, um zu überprüfen, ob dies eine gültige
php sessionist befindet sich in IhremRESTAufrufe über eckigeshttpService für Ihre datenbankbezogenen PHP-Skripte. - Also jeder Lese-/Schreibzugriff auf Ihre
REST apisollte prüfen, ob dieser Benutzer diese db-Operation wirklich im PHP-Skript ausführen darf. - Wenn die Prüfung fehlschlägt,
headerzurück zur Login-Seite oder ein "Got you!" Seite.
Auf diese Weise kann der Angreifer zwar den js-Code der Winkel-App sehen (wenn er irgendwie an die tatsächliche Adresse kommt), aber es ist völlig nutzlos für ihn, da er die tatsächlichen Daten nie sehen kann, solange er nicht gestartet hat eine gültige php session . Und die Daten sind das, was Sie schützen möchten, nicht das Skript der App.
Kurz gesagt:Mischen Sie Standard-PHP-Validierung UND Angular. Erlauben Sie Haxoren, auf Ihre Seite zu gelangen, aber zeigen Sie ihnen niemals Ihre zugrunde liegenden Daten. Sobald jemand versucht, mit Ihren Daten herumzuspielen, schmeißen Sie ihn raus.
Dies ist fast die gleiche Antwort, die ich gegeben habe hier
Suchen Sie nach den markierten Schlüsselwörtern sowohl auf PHP- als auch auf Angular-Sites, um die Idee dahinter zu verstehen.
