U dient niet in te loggen op een hoekige pagina, aangezien alles met betrekking tot gegevens wordt afgehandeld door javascript dat gemakkelijk kan worden gestopt, opgespoord en geanalyseerd.
De betere manier zou zijn:
- Maak een normale index.php die een inlogformulier aan de gebruiker presenteert.
- Controleer bij indienen op geldigheid met uw database.
- Als de gebruiker geldig is, start een sessie en
headerop naar de daadwerkelijke hoekige app-pagina. - De enige manier om te controleren of dit een geldige
php sessionis bevindt zich in uwRESToproepen via hoekigehttpservice aan uw database-gerelateerde php-scripts. - Dus elke lees-/schrijftoegang tot uw
REST apimoet controleren of deze gebruiker deze db-bewerking echt mag uitvoeren in het php-script. - Als de controle mislukt,
headerterug naar de inlogpagina of een "Got you!" pagina.
Op deze manier kan de aanvaller de js-code van de hoekige app zien (als hij op de een of andere manier het werkelijke adres te pakken krijgt), maar het is volkomen nutteloos voor hem, omdat hij de werkelijke gegevens nooit kan zien zolang hij niet was begonnen een geldige php session . En de gegevens zijn wat u wilt beschermen, niet het script van de app.
In een notendop:Mix standaard PHP-validatie EN Angular. Sta haxors toe om naar uw pagina te gaan, maar laat ze nooit uw onderliggende gegevens zien. Zodra iemand met je gegevens probeert te knoeien, gooi je hem eruit.
Dit is bijna hetzelfde antwoord dat ik gaf hier
Zoek naar de gemarkeerde trefwoorden op zowel PHP- als Angular-sites om het idee hierachter te begrijpen.