Bạn không nên đăng nhập trên một trang góc cạnh vì mọi thứ liên quan đến dữ liệu đều được xử lý bằng javascript, có thể dễ dàng bị dừng, gỡ lỗi và phân tích.
Cách tốt hơn sẽ là:
- Tạo một index.php bình thường để hiển thị biểu mẫu đăng nhập cho người dùng.
- Khi gửi, hãy kiểm tra tính hợp lệ với cơ sở dữ liệu của bạn.
- Nếu người dùng hợp lệ, hãy bắt đầu một phiên và
headervào trang ứng dụng góc cạnh thực tế. - Cách duy nhất để kiểm tra xem đây có phải là
php sessionhợp lệ hay không nằm trongRESTcủa bạn cuộc gọi qua góchttpdịch vụ cho các tập lệnh php liên quan đến cơ sở dữ liệu của bạn. - Vì vậy, mọi quyền truy cập đọc / ghi vào
REST apicủa bạn nên kiểm tra xem người dùng này có thực sự được phép thực hiện thao tác db này trong tập lệnh php hay không. - Nếu kiểm tra không thành công,
headerquay lại trang đăng nhập hoặc một số "OK!" trang.
Bằng cách này, kẻ tấn công có thể nhìn thấy mã js của ứng dụng góc cạnh (nếu bằng cách nào đó anh ta nắm được địa chỉ thực) nhưng nó hoàn toàn vô dụng đối với anh ta, vì anh ta không bao giờ có thể xem dữ liệu thực tế miễn là anh ta chưa khởi động một php session hợp lệ . Và dữ liệu là thứ bạn muốn bảo vệ, không phải tập lệnh của ứng dụng.
Tóm lại:Kết hợp xác thực PHP chuẩn VÀ Angular. Cho phép người dùng truy cập trang của bạn, nhưng không bao giờ được hiển thị cho họ bất kỳ dữ liệu cơ bản nào của bạn. Ngay khi ai đó cố gắng làm xáo trộn dữ liệu của bạn, hãy đuổi anh ta ra ngoài.
Đây gần giống câu trả lời mà tôi đã đưa ra tại đây
Tìm kiếm các từ khóa được đánh dấu trong cả trang web PHP và Angular để nắm bắt ý tưởng đằng sau điều này.
