No debe iniciar sesión en una página angular, ya que javascript maneja todos los datos relacionados, lo que se puede detener, depurar y analizar fácilmente.
La mejor manera sería:
- Cree un index.php normal que presente un formulario de inicio de sesión para el usuario.
- Al enviar, verifique la validez con su base de datos.
- Si el usuario es válido, inicie una sesión y
headeren la página real de la aplicación angular. - La única forma de comprobar si se trata de una
php sessionválida está en tuRESTllamadas a través de angularhttpservicio a los scripts php relacionados con su base de datos. - Así que cada acceso de lectura/escritura a su
REST apidebe verificar si este usuario realmente puede realizar esta operación de base de datos en el script php. - Si la comprobación falla,
headervolver a la página de inicio de sesión o algún "¡Te tengo!" página.
De esta manera, el atacante puede ver el código js de la aplicación angular (si de alguna manera obtiene la dirección real), pero es completamente inútil para él, porque nunca puede ver los datos reales mientras no haya comenzado. una php session válida . Y lo que desea proteger son los datos, no el script de la aplicación.
En pocas palabras:Mezcle la validación de PHP estándar Y Angular. Permita que los haxors accedan a su página, pero nunca les muestre ninguno de sus datos subyacentes. Tan pronto como alguien intente alterar sus datos, échelo.
Esta es casi la misma respuesta que di el inicio de sesión falla/21573893#21573893">aquí
Busque las palabras clave marcadas en los sitios PHP y Angular para comprender la idea detrás de esto.
