現在、アングル2アプリを開発中です。すべてのサーバー側ロジックは、REST APIを使用して実行されます。認証済みのページで使用される静的ファイルを認証/承認する必要があります
認証/認可を必要とするすべてのAPIは、セッションクッキー(および他のもの)がチェックされ
しかし、現在、静的な角度2つのjsファイルには、このような制限はありません。 例 コントロールパネルのページで、Web API DELETE example.com/user/1を使用すると、リクエストは適切に認証され、ユーザーを削除する前に承認されますが、ページ自体は静的リソースとしてアクセス可能です。
ユーザーは認証/承認なしでサーバー側のロジックを実行できませんが、静的ファイルを配布することは適切ですか?
これと一緒にサーバーサイドガードを実装する必要がありますか? –
クライアント側のガードに関係なく、サーバー側の権限のないユーザーからは常に自分を保護する必要があります。クライアント側の警備員は素敵で便利ですが、他のすべてのクライアントの保護が操作される可能性があります。 –