当我的angular应用程序中已经存在身份验证时,是否需要在web API中进行身份验证
我正在构建一个有角度的应用程序。我正在检查用户的角色,然后在用户登录后进行身份验证。我在angular中使用web API。web API调用是否也需要对每个用户进行身份验证,或者是否仅为该url启用CORS?
共有1个答案
是的,这是必要的,如果您有其他人无法访问的敏感用户数据,仅启用CORS是不够的。
有一些工具可以让你编辑你的请求并伪造来源。因此,如果您在API调用中没有身份验证方法,外部人员可以访问您的API,而无需通过伪造原点登录。关于这篇文章的更多信息:https://medium.com/netscape/hacking-it-out-when-cors-wont-let-you-be-great-35f6206cc646
这里引用其他帖子:
记住:CORS不是安全性。不要依赖CORS来保护您的网站。如果您正在提供受保护的数据,请使用cookie或OAuth令牌或原点标头以外的其他东西来保护该数据。CORS中的访问控制允许起源标头仅指示应允许哪些起源发出跨起源请求。不要再依赖它了。
也就是说,如果您必须在应用程序和服务器之间交换数据,那么每次登录后,您都必须以安全的方式对用户进行身份验证,而无需存储密码。为此,您可以使用会话或JWT(关于JWT的一个很好的指南如下:http://jasonwatmore.com/post/2018/05/23/angular-6-jwt-authentication-example-tutorial)
-
本文向大家介绍asp.net mvc中Forms身份验证身份验证流程,包括了asp.net mvc中Forms身份验证身份验证流程的使用技巧和注意事项,需要的朋友参考一下 验证流程 一、用户登录 1、验证表单:ModelState.IsValid 2、验证用户名和密码:通过查询数据库验证 3、如果用户名和密码正确,则在客户端保存Cookie以保存用户登录状态:SetAuthCookie 1
-
我正在尝试用.NET中的LDAP制作一个简单的身份验证系统。我检查了.NET中的一些名称空间,并简单地制作了标准代码片段,如下所示。 我有一个管理员用户名和密码和,用于对客户端应用程序进行身份验证。我有第二个用户名和密码和,需要在LDAP中检查才能登录。 是管理帐户,只是LDAP中的用户。那么如何检查的密码呢?
-
问题内容: 在我的iOS应用程序中,我想使用WKWebView在应用程序中包装外部URL 。此URL需要基本身份验证(它需要用户和密码凭据,如以下屏幕截图所示)。 经过一番调查,我尝试使用 didReceiveAuthenticationChallengemethod来启用自动 登录,因此我不了解它的工作原理。 这是我的代码。 I’m facing with this exception: If
-
我已经在WebAPI中成功设置了JWT身份验证/授权,但有一个问题:我可以创建一个新的用户帐户,生成它的JWT令牌,然后在令牌仍然有效时删除该帐户。在授权之前,我应该如何以及在哪里检查与令牌关联的用户是否确实存在? 这是我设置JWT的代码(Startup.cs): 我在我的控制器上使用属性,用户ID在JWT令牌中。 提前感谢!
-
问题内容: 我想在我的Java应用程序中使用Windows NTLM认证来透明地认证Intranet用户。如果使用浏览器(单点登录),用户将不会注意到任何身份验证。 我发现了一些具有NTLM支持的库,但是不知道要使用哪个库: http://spnego.sourceforge.net/ http://sourceforge.net/projects/ntlmv2auth/ http://jcifs
-
我有一个iOS应用程序,实现了与CognitoYourUserPoolsSample非常相似的Cognito身份验证。最重要的片段在SignInViewController.swift中: > 后来,我们得到成功或错误的响应: 我也有一个用户界面测试,它填充用户名和密码,点击登录并验证响应: 目前,该测试针对的是实际的AWS基础设施,由于许多原因,该基础设施并不理想。我想要的是模拟来自AWS的各种