不使用本地存储或cookie的Angular身份验证保护
可以通过以下方式实现:
- 使用JWT(JSON Web Token):JWT是一种用于身份验证和授权的开放标准,它可以在客户端和服务器之间安全地传输信息。在Angular中,可以使用
@auth0/angular-jwt库来处理JWT。JWT的优势是无状态,不需要在服务器端存储任何会话信息,因此适用于无状态的RESTful API。 - 在服务器端使用Token-Based身份验证:在每次请求时,客户端将身份验证信息发送到服务器,服务器验证该信息的有效性,并返回相应的响应。这种方式可以使用Angular的HttpClient模块发送HTTP请求,并在请求头中包含身份验证信息。
- 使用OAuth 2.0:OAuth 2.0是一种授权框架,用于允许第三方应用程序访问用户在另一个应用程序上存储的资源。在Angular中,可以使用
angular-oauth2-oidc库来实现OAuth 2.0身份验证。该库提供了一组Angular服务和指令,用于处理OAuth 2.0流程。 - 使用Firebase身份验证:Firebase提供了一套完整的身份验证解决方案,包括电子邮件/密码、社交媒体登录等。在Angular中,可以使用
angularfire2库来集成Firebase身份验证。Firebase身份验证提供了易于使用的API和内置的UI组件,用于处理用户注册、登录和密码重置等操作。
这些方法都可以在Angular应用程序中实现不使用本地存储或cookie的身份验证保护。具体选择哪种方法取决于应用程序的需求和开发团队的偏好。
腾讯云相关产品和产品介绍链接地址:
- 腾讯云身份认证服务(CAM):https://cloud.tencent.com/product/cam
- 腾讯云API网关:https://cloud.tencent.com/product/apigateway
- 腾讯云云函数(SCF):https://cloud.tencent.com/product/scf
- 腾讯云容器服务(TKE):https://cloud.tencent.com/product/tke
- 腾讯云数据库(TencentDB):https://cloud.tencent.com/product/cdb
相关·内容
我有一个angular项目,它的登录由拦截器控制。浏览器和服务器的认证和会话维护写在这里。我想引入作为身份验证保护的登录,并将重定向逻辑移动到保护服务。我想这样做的原因是:每当我在浏览器中第一次打开任何页面时,该页面UI都会显示半秒钟,然后重定向到登录页面。实际上,我不想在没有身份验证的情况下显示该页面,哪怕只有半秒钟。我在互联网上查看了答案,发现一些答案使用了一些变量存储,这些变
浏览 14提问于2018-12-13得票数 0
我在客户端使用ASP.Net web和Backbone.js实现了一个RESTful Web服务。对用户进行身份验证的最佳方式是什么?
浏览 0提问于2014-09-24得票数 0
我使用的是ASP.NET,Framework4,M.V.C4,WEB。我刚刚开始学习ASP.NET web-api,并在客户端使用Backbone.js完成了ASP.NET web-api中的CRUD操作。现在我的下一个任务是建立一个登录、注销和注册系统。我只想知道在Backbone.js将在单页面应用程序中使用ASP.NET web-api的场景中,哪种方法是最好的。此外,如果有人能告诉我任何简单的教程,我可以一步一步地学习asp.
浏览 0提问于2014-09-26得票数 1
1回答
我的应用程序在前端的工作方式是,我有两个应用程序:一个认证的应用程序和一个未经认证的应用程序。<AuthenticatedApp/> : <UnauthenticatedApp/>
这里,通过身份验证的变量来自一个AuthContext,我可以在整个应用程序中全局访问它。它所做的是将已验证的值存储在localStorage中。我所坚持的是何时/在何处设置这个已验证
浏览 1提问于2022-08-28得票数 1
回答已采纳
1回答
我有一个后端服务器为REST实现基于JWT的身份验证。虽然前端webapp是在angular js中开发的,我计划将JWT存储在HTTPOnly cookie中(具有CSRF保护)。然而,看起来原生android应用程序不能设置cookie。我希望避免将JWT存储在浏览器本地存储中。有没有一种通用且安全的方式来为REST API实现基于JWT的身份验证</
浏览 0提问于2019-07-02得票数 0
2回答
在成功登录后,将除JWT之外的任何其他用户信息保存在本地存储或cookie中有多好的做法?(用户配置文件对象已在jwt有效载荷子部分中保存和加密。)如果我只在客户端保存JWT,我需要一个额外的ajax请求,以便在应用加载之前从服务器端的JWT解码中获取用户信息,因为令牌秘密在服务器上(仅在整个页面刷新之后)。Token是有效的或无效的,因此在这种情况下处理错误要容易得多。
如果我将JWT和用户配置文
浏览 3提问于2015-01-03得票数 3
1回答
我最近开始了angular的web开发。对于身份验证,我在网上看到了很多关于jwt和cookies的争论。你们使用什么进行angular 6的身份验证?如果使用jwt,您是否存储在本地存储、cookie、会话存储中
浏览 0提问于2018-10-30得票数 1
2回答
我通常将用户令牌保存在本地存储中。我检查本地存储中的token密钥作为CanActivate方法来保护某些路由。如果密钥在那里,我让用户登陆页面,否则我重定向到登录页面。现在,我使用cookie来存储身份验证令牌。令牌在服务器登录时直接存储在cookie中(set-cookie,secure: true,httpOnly: true)。由于httpOnly,我无法
浏览 3提问于2019-09-27得票数 2
关于在典型的单页应用程序(cookie和本地存储)中存储令牌的安全方法,已经写了很多文章,而使用cookie通常是更好的选择。
原因是在本地存储中存储感知数据容易受到XSS攻击。Cookie有CSRF问题,但是从文本来看,实现CSRF保护并不是一个问题。然而,我无法想象SPA对REST的CSRF保护,它不会
浏览 0提问于2018-11-10得票数 3
3回答
我确实理解,报头是在REST调用中将一个令牌从受信任的系统传输到另一个系统的“更干净”的解决方案。但是,当您使用客户端JavaScript代码时,世界在我看来是不同的。Cookie可以标记为“仅http”,因此不易被JavaScript窃取。头部甚至必须由JavaScript设置,因此必须从JavaScript内部访问auth令牌。但是,人们使用auth头将不受信任的客户端JavaScript中的auth令牌提交给服务器。从好
浏览 0提问于2018-02-23得票数 40
回答已采纳
我目前正在实现一个angular应用程序,其中我从后端获取身份验证令牌。登录后,我将该令牌存储在浏览器的本地存储中。是否有其他方法来存储Auth令牌。我正在尝试避免本地存储或会话存储或cookie。 如果有任何解决方案,请提出建议。另外,在登录后的某个时间点(大约20分钟),我会得到一个刷新令牌。
浏览 7提问于2020-04-24得票数 0
回答已采纳
1回答
我使用2台服务器来完成我的系统,一台cdn服务器用于存储大型受保护的文档、视频等,还有一台.NET服务器用于网站。我想知道在下载文件之前让cdn对用户进行身份验证或验证的最好方法是什么。现在,用户登录网站后,就会存储一个Cookie。不过,我不知道如何保护cdn上的资产。我不希望匿名/访问者使用他们伙伴的链接来检索文件
浏览 2提问于2011-02-20得票数 2
我正在尝试使用Spring和React JS构建一个全栈web应用程序。import axios from 'axios';
}
e
浏览 0提问于2021-04-13得票数 0
2回答
我在一个使用Angular的网站上使用基于会话的CSRF。发出HTTP调用以请求CSRF令牌是否安全?例如,如果我向一个名为/ CSRF /get的页面发送了一个具有有效用户会话的请求,并且它打印了一个原始令牌,那么这对于CSRF功能是否足够安全?它将是第一个api调用,在其他调用之前,我将把它保存在本地存储上,以便在每次http调用时使用它。
浏览 4提问于2018-09-11得票数 8
我用角度实现了auth保护,但我没有访问本地存储或cookie来检查用户是否经过身份验证,而是有一个API端点,如果存在一个仅包含附加到请求的JWT的httponly cookie,则返回200 OK,这是我尝试过的import { Injectable } from '@angular/core';
impo
浏览 4提问于2022-07-06得票数 1
回答已采纳
在asp.net中有几种管理状态的方法,如Session、ViewState、Cookie等。
谁能给我解释一下,或者给我举一个很好的例子,它展示了angularJ中的状态管理最佳实践。例如,一旦用户登录到应用程序,我希望将当前的用户对象存储在客户端。
浏览 0提问于2016-05-07得票数 2
使用JWT进行身份验证;我有一个创建令牌的控制器app.mydomain.com/API/auth/jwt/login。SPA将它们保存到本地存储中。所有工作都很完美。在安全审计之后,我们被告知将本地存储转换为cookies。问题是,app.mydomain.com/API上的应用程序接口被SPA使用,但也被一个移动应用程序和几个客户服务器-2-服务器解决方案使用。
浏览 2提问于2018-03-24得票数 28
6回答
我知道基于曲奇的认证。SSL和HttpOnly标志可用于保护基于cookie的身份验证不受MITM和XSS的影响。然而,需要采取更多的特别措施,以保护它不受中央应急基金的影响。他们只是有点复杂。()
最近,我发现JSON令牌(JWT)作为身份验证的解决方案非常热门。我了解有关编码、解码和验证JWT的内容。然而,我不明白为什么有些网站/教程告诉我们,如果使用</em
浏览 7提问于2014-11-21得票数 293
回答已采纳
我想要的是:2)让我的软件使用WinInet API爬行站点,重用相同的cookie/会话(也就是说,爬虫是“登录”的)
我尝试使用INDY构建自己的登录,虽然会话cookie登录运行良好,但现在许多网站使用了一种更加复杂的登录机制,将客户端和服务器端的内容结合在一起进行初始登录。我相信,例如,Wor
浏览 4提问于2013-02-19得票数 5
并将其设置为cookie,每次客户端调用您的服务器时,它都会发送该cookie,服务器可以在数据库或其他服务器端存储中查找相关用户。令牌可以存储在任何地方本地存储、会话存储、cookie。我将使用本地存储或会话存储来防止XSRF。因此,在身份验证方面,我给出了用户访问令牌和刷新令牌,当用户访问令牌到期时,用户可
浏览 1提问于2020-07-20得票数 38
回答已采纳
扫码
添加站长 进交流群
领取专属 10元无门槛券
手把手带您无忧上云
相关资讯
热门标签
云服务器
ICP备案
对象存储
实时音视频
即时通信 IM活动推荐
腾讯云开发者
