クライアント側でember.jsを使用し、サーバー側でnode.jsを使用して、本格的なアプリの構築を開始したいと思います。クライアント側(接続されたユーザーの役割ですか?彼は管理者ですか、それとも通常のユーザーですか?)でセキュリティを処理するのは悪いことだと知っているので、サーバー側でセキュリティロジックを維持したいのですが、 ember / knockoutのようなフレームワークでそれを正しく処理する方法を知っています...後続のすべての呼び出しに渡されるトークンを作成するサーバーがありますか、それとも別の方法がありますか?
質問する
652 次
1 に答える
6
通常、ユーザーがログインするURL(RESTまたは「クラシック」Webページ)があり、応答でサーバーがCookieを送り返します。
以降、ブラウザは常にそのCookieを元のドメインに送り返します。
サーバーには、このCookieがすべてのリクエストで有効であることを確認し、HTTP 401コードを使用してリクエストを許可するか、リクエストを拒否するミドルウェアがあります。
クライアントのJavaScriptコードはこの401応答エラーを処理する必要があり、このハンドラーでは、ユーザーをログインする(戻る)ために適切なUIを表示/リダイレクトします。
これはすべて、特別なトークンを渡す必要がないことを意味します。Cookieはトークンであり、リクエストとレスポンスのHTTPヘッダーで渡されます。
于 2012-12-18T18:19:30.817 に答える