0
私は、ステートレスヘッダーベースの認証APIエンドポイントを持っています。私はそれからデータを要求する私のウェブサイトを構築したいと思う。ステートレス認証であり、サーバーがセッションを維持していないという事実を考慮して、同じものに対してLogin Flowを実装するにはどうすればよいでしょうか。私はAngularJS SPAを構築しており、私のアプリケーションでは複数のルートを使用しています。プロダクションレベルのサービスの認証に最も適した方法は何でしょうか。私はAngularJSのクッキーに出くわしましたが、それは実際には安全ではありません(私はCookieの可能性を懸念しています)。私の選択肢は何ですか?私がログインフローに全く新しいので、どんな助けも本当に感謝します。Angular JSのログインフロー
明らかな理由から、私はSSLを介してヘッダーを送信します。しかし、これを行うことによって、私はどのようにして攻撃を受けやすいのですか? https://security.stackexchange.com/questions/988/is-basic-auth-secure-if-done-over-httpsここでは弱点が指摘されていますが、どのようにこれらを克服しますか?どんな助けでも本当に感謝します。
PS:私は、サーバー側で修正を加えて現在実装する方が良いと理解していますが、どのように動作しているのか(上記で説明した)
しかし、他の依存関係のためにサーバーが機能する方法を変更しないことを固執することを検討していたのであれば、これを修正する必要があります。 – Kakarot
サーバサイドのJWTシステムを実装するのは難しいことではありませんが、実際にPHP、ASPなどで使用できるライブラリがいくつか用意されています。 JWTのログインと検証を処理するAPIの新しいエンドポイントを作成するだけです。サーバー側のアプリケーションを変更する必要はなく、JWTシステムをデータベースに接続するだけで十分です(微調整が必要です) 。 – Iansen