Du bør ikke lave et login på en kantet side, da alt data relateret håndteres af javascript, som nemt kan stoppes, fejlsøges og analyseres.
Den bedre måde ville være:
- Opret en normal index.php, som præsenterer en login-formular til brugeren.
- Ved indsend tjek for gyldighed med din database.
- Hvis brugeren er gyldig, start en session og
header
videre til den faktiske kantede app-side. - Den eneste måde at kontrollere, om dette er en gyldig
php session
er i dinREST
opkald via vinklethttp
service til dine databaserelaterede php-scripts. - Så hver læse-/skriveadgang til dit
REST api
skal tjekke, om denne bruger virkelig har lov til at udføre denne db-operation i php-scriptet. - Hvis kontrollen mislykkes,
header
tilbage til login-siden eller noget "Got you!" side.
På denne måde kan angriberen muligvis se js-koden for angular-appen (hvis han på en eller anden måde får fat i den faktiske adresse), men det er fuldstændig ubrugeligt for ham, fordi han aldrig kan se de faktiske data, så længe han ikke var startet en gyldig php session
. Og dataene er det, du vil beskytte, ikke appens script.
I en nøddeskal:Bland standard PHP-validering OG Angular. Tillad haxorer at komme til din side, men vis dem aldrig nogen af dine underliggende data. Så snart nogen prøver at rode med dine data, så smid ham ud.
Dette er næsten det samme svar, som jeg gav her
Søg efter de markerede søgeord i både PHP og Angular-websteder for at forstå ideen bag dette.