最佳实践 Angular HTTPOnly Cookie 和 RoleGuard
Best Practice Angular HTTPOnly Cookies and RoleGuards
我想提高 web-applications 的安全性,并开始寻找 Angular >= 10 的实际安全概念。
所以我就过来了HTTPOnly cookies,这似乎是state-of-the艺术。从现在开始,我只使用“标准”JWT 令牌并提取道具,例如iat, exp 和我的数据来自 jwt 并基于它构建了相关的守卫。
但如果我理解正确,如此处所述,则无法在客户端访问该 cookie。
所以我的问题是:
我如何在客户端建立一个基于角色的守卫,而不访问 cookie 并且不重复工作仍然通过请求 header 发送 jwt-token。
非常感谢您的评论!
最好的祝福
拉吉塔加
更新:关于 cookie 和 jwt 的相关但不完全相同的讨论在 运行 此处:to other related discussion
但我仍然缺少“最佳实践”!
总的来说,你不能忽视你的后端。应该在另一端实施一些访问规则,以便只有授权用户才能获得所需的访问权限。
问题是任何用户都可以轻松更新本地存储或 redux 状态,因此客户端将受到损害。
我想提高 web-applications 的安全性,并开始寻找 Angular >= 10 的实际安全概念。
所以我就过来了HTTPOnly cookies,这似乎是state-of-the艺术。从现在开始,我只使用“标准”JWT 令牌并提取道具,例如iat, exp 和我的数据来自 jwt 并基于它构建了相关的守卫。
但如果我理解正确,如此处所述
所以我的问题是:
我如何在客户端建立一个基于角色的守卫,而不访问 cookie 并且不重复工作仍然通过请求 header 发送 jwt-token。
非常感谢您的评论! 最好的祝福 拉吉塔加
更新:关于 cookie 和 jwt 的相关但不完全相同的讨论在 运行 此处:to other related discussion
但我仍然缺少“最佳实践”!
总的来说,你不能忽视你的后端。应该在另一端实施一些访问规则,以便只有授权用户才能获得所需的访问权限。 问题是任何用户都可以轻松更新本地存储或 redux 状态,因此客户端将受到损害。