68

我开始使用 angularJS 开发一个网络应用程序,但我不确定一切是否安全(客户端和服务器端)。安全性基于单个登录页面,如果凭据检查正常,我的服务器会发回具有自定义时间有效性的唯一令牌。所有其他 REST api 都可以通过此令牌访问。应用程序(客户端)浏览到我的入口点 ex:https ://www.example.com/home.html用户插入凭据并接收回一个唯一令牌。此唯一令牌使用 AES 或其他安全技术存储在服务器数据库中,它不是以清晰的格式存储的。

从现在开始,我的 AngluarJS 应用程序将使用此令牌对所有暴露的 REST Api 进行身份验证。

我正在考虑将令牌临时存储在自定义 http cookie 中;基本上,当服务器验证凭据时,它会发回一个新的 cookie Ex。

app-token : AIXOLQRYIlWTXOLQRYI3XOLQXOLQRYIRYIFD0T

cookie 设置了安全仅 HTTP标志。Http协议直接管理新的cookie并存储。连续的请求会以新的参数呈现 cookie,而不需要用 javascript 管理和存储它;在每次请求时,服务器都会使令牌无效并生成一个新令牌并将其发送回客户端 --> 使用单个令牌防止重放攻击。

当客户端从任何 REST Api 接收到 HTTP 状态401 未经授权的响应时,角度控制器会清除所有 cookie 并将用户重定向到登录页面。

我应该考虑其他方面吗?将令牌存储在新的 cookie 中还是 localStorage 中更好?关于如何生成独特的强令牌的任何提示?

编辑(改进):

  • 我决定使用 HMAC-SHA256 作为会话令牌生成器,有效期为 20 分钟。我生成一个随机的 32 字节 GUID,附加时间戳并通过提供 40 字节密钥来计算 HASH-SHA256。由于令牌的有效性非常小,因此几乎不可能发生冲突。
  • Cookie 将具有域和路径属性以提高安全性。
  • 不允许多次登录。
4

4 回答 4

55

如果您通过 https 与服务器通信,则不会遇到重放攻击问题。

我的建议是利用您服务器的安全技术。例如,JavaEE 具有开箱即用的登录机制、声明性的基于角色的资源保护(您的 REST 端点)等。这些都由一组 cookie 管理,您不必关心存储和到期。查看您的服务器/框架已经为您提供了什么。

如果您计划将您的 API 公开给更广泛的受众(而不是专门针对您所服务的基于浏览器的 UI)或其他类型的客户端(例如移动应用程序),请考虑采用 OAuth。

在我的脑海中,Angular 具有以下安全功能(将在它们弹出时添加更多):

CSRF/XSRF 攻击

Angular 支持开箱即用的CSRF保护机制。查看$http 文档。需要服务器端支持。

内容安全政策

Angular 有一种表达式评估模式,它与启用CSP时强制执行的更严格的 JavaScript 运行时兼容。查看ng-csp 文档

严格的上下文转义

使用 Angular 的新$sce功能 (1.2+) 来强化你的 UI 以抵御 XSS 攻击等。它不太方便但更安全。在这里查看文档。

于 2014-01-16T19:21:46.597 回答
10

这是您可以在常规 Angular 版本中实现的客户端安全性。我已经尝试并测试了这一点。(请在此处找到我的文章:- https://www.intellewings.com/post/authorizationonangularroutes)除了客户端路由安全之外,您还需要保护服务器端的访问。客户端安全有助于避免额外往返服务器。但是,如果有人欺骗浏览器,那么服务器服务器端安全应该能够拒绝未经授权的访问。

希望这可以帮助!

第 1 步:在 app-module 中定义全局变量

- 定义应用程序的角色

  var roles = {
        superUser: 0,
        admin: 1,
        user: 2
    };

- 为应用程序定义未经授权访问的路由

 var routeForUnauthorizedAccess = '/SomeAngularRouteForUnauthorizedAccess';

步骤 2:定义授权服务

appModule.factory('authorizationService', function ($resource, $q, $rootScope, $location) {
    return {
    // We would cache the permission for the session, to avoid roundtrip to server for subsequent requests
    permissionModel: { permission: {}, isPermissionLoaded: false  },

    permissionCheck: function (roleCollection) {
    // we will return a promise .
            var deferred = $q.defer();

    //this is just to keep a pointer to parent scope from within promise scope.
            var parentPointer = this;

    //Checking if permisison object(list of roles for logged in user) is already filled from service
            if (this.permissionModel.isPermissionLoaded) {

    //Check if the current user has required role to access the route
                    this.getPermission(this.permissionModel, roleCollection, deferred);
} else {
    //if permission is not obtained yet, we will get it from  server.
    // 'api/permissionService' is the path of server web service , used for this example.

                    $resource('/api/permissionService').get().$promise.then(function (response) {
    //when server service responds then we will fill the permission object
                    parentPointer.permissionModel.permission = response;

    //Indicator is set to true that permission object is filled and can be re-used for subsequent route request for the session of the user
                    parentPointer.permissionModel.isPermissionLoaded = true;

    //Check if the current user has required role to access the route
                    parentPointer.getPermission(parentPointer.permissionModel, roleCollection, deferred);
}
                );
}
            return deferred.promise;
},

        //Method to check if the current user has required role to access the route
        //'permissionModel' has permission information obtained from server for current user
        //'roleCollection' is the list of roles which are authorized to access route
        //'deferred' is the object through which we shall resolve promise
    getPermission: function (permissionModel, roleCollection, deferred) {
        var ifPermissionPassed = false;

        angular.forEach(roleCollection, function (role) {
            switch (role) {
                case roles.superUser:
                    if (permissionModel.permission.isSuperUser) {
                        ifPermissionPassed = true;
                    }
                    break;
                case roles.admin:
                    if (permissionModel.permission.isAdministrator) {
                        ifPermissionPassed = true;
                    }
                    break;
                case roles.user:
                    if (permissionModel.permission.isUser) {
                        ifPermissionPassed = true;
                    }
                    break;
                default:
                    ifPermissionPassed = false;
            }
        });
        if (!ifPermissionPassed) {
            //If user does not have required access, we will route the user to unauthorized access page
            $location.path(routeForUnauthorizedAccess);
            //As there could be some delay when location change event happens, we will keep a watch on $locationChangeSuccess event
            // and would resolve promise when this event occurs.
            $rootScope.$on('$locationChangeSuccess', function (next, current) {
                deferred.resolve();
            });
        } else {
            deferred.resolve();
        }
    }

};
});

第 3 步:在路由中使用安全性:让我们使用到目前为止所做的所有硬字,来保护路由

var appModule = angular.module("appModule", ['ngRoute', 'ngResource'])
    .config(function ($routeProvider, $locationProvider) {
        $routeProvider
            .when('/superUserSpecificRoute', {
                templateUrl: '/templates/superUser.html',//path of the view/template of route
                caseInsensitiveMatch: true,
                controller: 'superUserController',//angular controller which would be used for the route
                resolve: {//Here we would use all the hardwork we have done above and make call to the authorization Service 
                    //resolve is a great feature in angular, which ensures that a route controller(in this case superUserController ) is invoked for a route only after the promises mentioned under it are resolved.
                    permission: function(authorizationService, $route) {
                        return authorizationService.permissionCheck([roles.superUser]);
                    },
                }
            })
        .when('/userSpecificRoute', {
            templateUrl: '/templates/user.html',
            caseInsensitiveMatch: true,
            controller: 'userController',
            resolve: {
                permission: function (authorizationService, $route) {
                    return authorizationService.permissionCheck([roles.user]);
                },
            }
           })
             .when('/adminSpecificRoute', {
                 templateUrl: '/templates/admin.html',
                 caseInsensitiveMatch: true,
                 controller: 'adminController',
                 resolve: {
                     permission: function(authorizationService, $route) {
                         return authorizationService.permissionCheck([roles.admin]);
                     },
                 }
             })
             .when('/adminSuperUserSpecificRoute', {
                 templateUrl: '/templates/adminSuperUser.html',
                 caseInsensitiveMatch: true,
                 controller: 'adminSuperUserController',
                 resolve: {
                     permission: function(authorizationService, $route) {
                         return authorizationService.permissionCheck([roles.admin,roles.superUser]);
                     },
                 }
             })
    });
于 2014-08-24T21:45:08.510 回答
2 
app/js/app.js
-------------

'use strict';
// Declare app level module which depends on filters, and services
var app= angular.module('myApp', ['ngRoute']);
app.config(['$routeProvider', function($routeProvider) {
  $routeProvider.when('/login', {templateUrl: 'partials/login.html', controller: 'loginCtrl'});
  $routeProvider.when('/home', {templateUrl: 'partials/home.html', controller: 'homeCtrl'});
  $routeProvider.otherwise({redirectTo: '/login'});
}]);


app.run(function($rootScope, $location, loginService){
    var routespermission=['/home'];  //route that require login
    $rootScope.$on('$routeChangeStart', function(){
        if( routespermission.indexOf($location.path()) !=-1)
        {
            var connected=loginService.islogged();
            connected.then(function(msg){
                if(!msg.data) $location.path('/login');
            });
        }
    });
});

 app/js/controller/loginCtrl.js
-------------------------------

'use strict';

app.controller('loginCtrl', ['$scope','loginService', function ($scope,loginService) {
    $scope.msgtxt='';
    $scope.login=function(data){
        loginService.login(data,$scope); //call login service
    };
}]);

app/js/directives/loginDrc.js
-----------------------------
'use strict';
app.directive('loginDirective',function(){
    return{
        templateUrl:'partials/tpl/login.tpl.html'
    }

});
app/js/services/sessionService.js
---------------------------------
'use strict';

app.factory('sessionService', ['$http', function($http){
    return{
        set:function(key,value){
            return sessionStorage.setItem(key,value);
        },
        get:function(key){
            return sessionStorage.getItem(key);
        },
        destroy:function(key){
            $http.post('data/destroy_session.php');
            return sessionStorage.removeItem(key);
        }
    };
}])

app/js/services/loginService
----------------------------
'use strict';
app.factory('loginService',function($http, $location, sessionService){
    return{
        login:function(data,scope){
            var $promise=$http.post('data/user.php',data); //send data to user.php
            $promise.then(function(msg){
                var uid=msg.data;
                if(uid){
                    //scope.msgtxt='Correct information';
                    sessionService.set('uid',uid);
                    $location.path('/home');
                }          
                else  {
                    scope.msgtxt='incorrect information';
                    $location.path('/login');
                }                  
            });
        },
        logout:function(){
            sessionService.destroy('uid');
            $location.path('/login');
        },
        islogged:function(){
            var $checkSessionServer=$http.post('data/check_session.php');
            return $checkSessionServer;
            /*
            if(sessionService.get('user')) return true;
            else return false;
            */
        }
    }

});

index.html
----------
<!doctype html>
<html lang="en" ng-app="myApp">
<head>
  <meta charset="utf-8">
  <title>My AngularJS App</title>
  <link rel="stylesheet" href="css/app.css"/>
</head>
<body>
  <div ng-view></div>
  <!-- In production use:
  <script src="//ajax.googleapis.com/ajax/libs/angularjs/1.0.7/angular.min.js"></script>
  -->
  <script src="lib/angular/angular.js"></script>
  <script src="lib/angular/angular-route.js"></script>

  <script src="js/app.js"></script>

  <script src="js/directives/loginDrc.js"></script>

  <script src="js/controllers/loginCtrl.js"></script>
  <script src="js/controllers/homeCtrl.js"></script>

  <script src="js/services/loginService.js"></script>
  <script src="js/services/sessionService.js"></script>
</body>
</html>
于 2016-06-22T04:46:14.923 回答
2

首先,您所问的问题没有简短的答案或只有一个答案。除了已经回答的内容,让我尝试添加更多内容。在企业层面,有四个主要组成部分,

  1. 用户界面
  2. 用户身份验证服务器- 在这里您验证用户凭据并生成必要的 cookie 以供用户在 UI 上前进。如果此步骤失败,用户将立即停止。此服务器与 API 令牌生成无关,您也需要它用于非基于 API 的系统。Google 身份验证就是一个例子。

扩展:站点管理员身​​份验证

SiteMinder Cookies、它们的使用、内容和安全性

为 Chatkit 构建 Java 身份验证服务器

  1. API 令牌服务器- 此服务器根据步骤 #2 生成的 cookie 生成 API 令牌,即您将 cookie 发送到服务器并获取令牌
  2. API - 您使用在第 3 步中生成的令牌进行 API 调用。

最好独立部署和管理这四个组件以获得更好的规模。例如,在本文中,他们在单端点混合了身份验证和令牌生成,这并不好 -使用 Spring Boot 的微服务 - 使用 JWT 进行身份验证(第 3 部分)

根据您的记录,您似乎已经自己编写了组件二和三 - 通常人们会为此使用一些现成的工具,例如 CA SiteMinder - CA Siteminder 的工作原理 - 基础

关于如何生成独特的强令牌的任何提示?

我建议您通过标准化方式获得更好的可维护性和安全性,即您选择 JWT 格式。JSON Web 令牌 (JWT) 身份验证方案

您的令牌将被签名和加密,因此您还需要一个加密密钥服务器和一个定期轮换这些密钥的机制。

JSON Web Tokens - 如何安全地存储密钥?

JWT 和使用 AES 手动加密一些 json 有什么区别?

CA 人员在此社区门户上附上了详细的 pdf 指南 - 这将帮助您了解整体流程。

使用 REST JWT 令牌 API 的示例代码/应用程序

您的 API 代码将需要获取加密密钥并解密和解码令牌以验证令牌。如果令牌被篡改或丢失,您需要将其标记为此类。有可用的库。

将令牌存储在新的 cookie 中还是 localStorage 中更好?

如果 UI 和 API 在不同的域中,则为本地存储;如果在同一域中,则为 Cookie。

JWT 应该存储在 localStorage 还是 cookie 中?

跨域 Cookie

应用程序的安全性还取决于部署模型以及您在问题中未指定的部分。有时,开发人员可能会在他们的代码中留下像 SQL 注入一样简单的缺陷 :)

如果 JWT 被盗怎么办?

于 2019-03-23T08:16:52.070 回答