純粋な HTML/Javascript アプリでユーザーの目からパスワードや認証ヘッダー トークンなどの資格情報を隠す方法はありますか?
AngularJS アプリは、別のドメインで実行されている CORS を介して Rails バックエンドと通信します。
CORS をより制限的に設定したり、バックエンド側でリクエストのドメインをチェックしたりすることに加えて、認証トークンを送信したり、トークンをヘッダーに追加したりしたいと考えています。
誰か知っていますか?
敬具、
アレックス
3667 次
2 に答える
0
ユーザーが見るものを目立たなくすることしかできませんが、これはあまり良い考えではありません。
ここで重要なのは、ユーザーが何を表示または操作できるかが問題にならないように認証を設定することです。これを行う 1 つの方法は、アプリの認証が必要になるたびに、生成されたキーをクライアントと 2 番目のサーバー アプリに送信することです。アプリにとって意味のある方法で使用を制限します。別の可能性は登録です。
可能な回避策は、サーバーが他のサーバーと通信するすべての作業を実行している間に、クライアントが通信する唯一のノードとして 1 つのサーバーを使用することです。特に、何らかの理由でユーザーがアプリ ロジックの外部で 2 番目のサーバーの API を呼び出す可能性を与えたくない場合。
于 2013-09-09T07:31:53.647 に答える
0
抜け道はないと思います。とにかく賢いユーザーはそれに到達できます。
于 2013-09-09T07:05:00.280 に答える