угловая аутентификация ui-роутера

Question

угловая аутентификация ui-роутера

357

Я новичок в AngularJS, и я немного смущен тем, как я могу использовать angular - "ui-router" в следующем сценарии:

Я создаю веб-приложение, состоящее из двух разделов. Первый раздел - это домашняя страница с ее входами и входами, а вторая секция - панель (после успешного входа в систему).

Я создал index.html для домашнего раздела с его конфигурацией angular и ui-router для обработки представлений /login и /signup и есть еще один файл dashboard.html для раздела панели управления с его приложением и ui-router config для обработки многих под-представлений.

Теперь я закончил раздел панели инструментов и не знаю, как объединить два раздела с их различными приложениями angular. Как я могу сообщить домашнему приложению о перенаправлении на приложение панели инструментов?

Ahmed Hashem 20 март 2014, в 13:42

Источник

1

Можете ли вы поделиться с нами некоторым кодом?
Chancho 20 март 2014, в 15:17
6

@ Чанчо: Я думаю, что дело не в коде, на самом деле, я не знаю, каким кодом мне поделиться.
Ahmed Hashem 20 март 2014, в 15:41
0

да, пожалуйста, поделитесь кодом, очень общий вопрос ...
Alireza 09 апр. 2017, в 13:28

Показать ещё 1 комментарий

Теги:

javascript

angularjs

angular-ui-router

10 ответов

115

Решения, опубликованные до сих пор, на мой взгляд, излишне сложны. Там более простой способ. Документация ui-router говорит, что она прослушивает $locationChangeSuccess и использует $urlRouter.sync(), чтобы проверить переход состояния, остановить его или возобновить. Но даже это на самом деле не работает.

Однако, вот две простые альтернативы. Выберите один:

Решение 1: прослушивание `$locationChangeSuccess`

Вы можете слушать $locationChangeSuccess, и вы можете выполнить некоторую логику, даже асинхронную логику. Исходя из этой логики, вы можете позволить функции возвращать undefined, что приведет к продолжению перехода состояния как обычно, или вы можете сделать $state.go('logInPage'), если пользователь должен пройти аутентификацию. Вот пример:

angular.module('App', ['ui.router'])

// In the run phase of your Angular application  
.run(function($rootScope, user, $state) {

  // Listen to '$locationChangeSuccess', not '$stateChangeStart'
  $rootScope.$on('$locationChangeSuccess', function() {
    user
      .logIn()
      .catch(function() {
        // log-in promise failed. Redirect to log-in page.
        $state.go('logInPage')
      })
  })
})

Имейте в виду, что это фактически не предотвращает загрузку целевого состояния, но оно перенаправляется на страницу входа в систему, если пользователь несанкционирован. Это нормально, так как настоящая защита на сервере, во всяком случае.

Решение 2: использование состояния `resolve`

В этом решении вы используете ui-router функцию разрешения.

В основном вы отклоняете обещание в resolve, если пользователь не аутентифицирован, а затем перенаправляет его на страницу входа.

Вот как это делается:

angular.module('App', ['ui.router'])

.config(
  function($stateProvider) {
    $stateProvider
      .state('logInPage', {
        url: '/logInPage',
        templateUrl: 'sections/logInPage.html',
        controller: 'logInPageCtrl',
      })
      .state('myProtectedContent', {
        url: '/myProtectedContent',
        templateUrl: 'sections/myProtectedContent.html',
        controller: 'myProtectedContentCtrl',
        resolve: { authenticate: authenticate }
      })
      .state('alsoProtectedContent', {
        url: '/alsoProtectedContent',
        templateUrl: 'sections/alsoProtectedContent.html',
        controller: 'alsoProtectedContentCtrl',
        resolve: { authenticate: authenticate }
      })

    function authenticate($q, user, $state, $timeout) {
      if (user.isAuthenticated()) {
        // Resolve the promise successfully
        return $q.when()
      } else {
        // The next bit of code is asynchronously tricky.

        $timeout(function() {
          // This code runs after the authentication promise has been rejected.
          // Go to the log-in page
          $state.go('logInPage')
        })

        // Reject the authentication promise to prevent the state from loading
        return $q.reject()
      }
    }
  }
)

В отличие от первого решения, это решение фактически предотвращает загрузку целевого состояния.

M.K. Safi 01 фев. 2015, в 21:09

2

Зачем использовать $ timeout?
Fred Lackey 21 апр. 2015, в 14:11
6

@FredLackey говорит, что неаутентифицированный пользователь находится в state A Они нажимают на ссылку, чтобы перейти в protected state B но вы хотите перенаправить их в logInPage . Если $timeout нет, ui-router просто остановит все переходы между состояниями, поэтому пользователь застрянет в state A $timeout позволяет ui-router сначала предотвратить первоначальный переход в protected state B поскольку разрешение было отклонено, и после этого оно перенаправляет на logInPage .
M.K. Safi 21 апр. 2015, в 17:53
0

Где на самом деле вызывается функция authenticate ?
CodyBugstein 09 июнь 2015, в 03:46
0

Функция authenticate @Imray передается в качестве параметра в ui-router . Вы не должны называть это сами. ui-router вызывает это.
M.K. Safi 09 июнь 2015, в 16:05
0

Почему вы используете $ locationChangeSuccess вместо $ stateChangeStart?
Draex_ 08 авг. 2015, в 07:01
0

@ PeterDraexDräxler Я в основном следил за документацией. Заметили ли вы разницу при использовании $stateChangeStart ?
M.K. Safi 08 авг. 2015, в 14:39
0

@MKSafi $ locationChangeSuccess вызывается после полной загрузки нового состояния. $ stateChangeStart запускается перед загрузкой нового состояния. Поэтому с $ locationChangeSuccess «запрещенная» страница отображается на полсекунды, а с $ stateChangeStart - нет.
Draex_ 08 авг. 2015, в 17:59
0

@ PeterDraexDräxler О, хорошо. Я смутно вспоминаю, как пытался $stateChangeStart пока я этим занимался, но это не совсем то, что мне было нужно. Я не помню почему сейчас.
M.K. Safi 08 авг. 2015, в 21:40
0

Большое спасибо, что очень помогло. Я сделал это по-другому. Я сохранил пользовательский объект как истинный в cookie, когда он вошел в систему, и сохранил его как ложный, когда он вышел и успешно смог это сделать. Спасибо ... Любая возможная проблема безопасности из-за этого?
Saras Arya 24 фев. 2016, в 14:34
0

Я пытаюсь реализовать Решение 2, и оно работает, однако мой контроллер создается во время завершения процесса, пользовательский интерфейс которого кратко отображается перед тем, как пользователь перенаправляется на страницу входа в систему. Есть ли альтернатива этому? Это явно не желаемое поведение.
Mike Feltman 07 март 2016, в 14:31
0

во втором решении, как контролировать, когда сессия заканчивается на сервере? Я имею в виду, как вы проверяете в JS, когда у вас истек срок сеанса на сервере? что произойдет, когда сеанс будет запущен на сервере, а затем захочется получить доступ к защищенной странице?
oware 17 март 2016, в 19:06
0

@MKSafi я использовал второе решение, но я не могу перенаправить на домашнюю страницу, после успешной аутентификации я попробовал $state.go , window.location и т. Д. Внутри if (user.isAuthenticated()) { и обещание успеха http запроса, но это не сработало. Не могли бы вы сказать мне, почему. нет ошибок в консоли
codelearner 29 апр. 2016, в 05:51
0

В этом решении не представляется возможным установить параметр состояния перенаправления для отправки пользователя на страницу, которую он хотел, после того, как он вошел в систему.
Ash 26 апр. 2017, в 17:52
0

взгляните на хуки $ transistions: ui-router.github.io/ng1/docs/latest/interfaces/…
kaiser 18 нояб. 2018, в 22:20

Показать ещё 12 комментариев

43

Самое простое решение - использовать $stateChangeStart и event.preventDefault() для отмены изменения состояния, когда пользователь не аутентифицирован и перенаправляет его в состояние auth, которое является страницей входа.

angular
  .module('myApp', [
    'ui.router',
  ])
    .run(['$rootScope', 'User', '$state',
    function ($rootScope, User, $state) {
      $rootScope.$on('$stateChangeStart', function (event, toState, toParams, fromState, fromParams) {
        if (toState.name !== 'auth' && !User.authenticaded()) {
          event.preventDefault();
          $state.go('auth');
        }
      });
    }]
  );

sebest 28 июль 2015, в 22:37

6

Я не думаю, что это будет работать, если User.authenticaded () является асинхронным вызовом. Это Святой Грааль, за которым следуют все. Например, если каждое состояние, кроме «логин», защищено, я хочу подтвердить, что пользователь все еще аутентифицирован ПЕРЕД загрузкой любого состояния. Использование resolves - это отстой, потому что они разрешаются только один раз, и чтобы предотвратить загрузку дочерних состояний, вы должны ввести разрешение в EVERY CHILD .
Jason 23 окт. 2015, в 17:53
0

authenticated не является асинхронным вызовом в моем случае: `this.authenticaded = function () {if (this.currentAccountID! == null) {return true; } вернуть ложь; }; `
sebest 13 нояб. 2015, в 03:30
0

Согласно: stackoverflow.com/a/38374313/849829 , «запуск» идет намного выше «обслуживания» и, следовательно, проблем. Проверка локального хранилища для аутентифицированного статуса, кажется, хороший подход.
Deepak Thomas 31 янв. 2017, в 04:45

Показать ещё 1 комментарий

23

Мне кажется, вам нужен service, который обрабатывает процесс аутентификации (и его хранилище).

В этой службе вам понадобятся основные методы:

isAuthenticated()
login()
logout()
и т.д.

Эта служба должна быть введена в ваши контроллеры каждого модуля:

В разделе вашей панели мониторинга используйте эту службу для проверки подлинности пользователя (метод service.isAuthenticated()). если нет, перенаправление на /login
В разделе входа в систему просто используйте данные формы для аутентификации пользователя с помощью метода service.login()

Хорошим и надежным примером такого поведения является проект angular-app и, в частности, его модуль защиты, который основан на awesome HTTP Auth Interceptor Module

Надеюсь, что это поможет

Cétia 20 март 2014, в 17:34

20

I Создал этот модуль, чтобы помочь сделать этот процесс куском пирога

Вы можете делать такие вещи, как:

$routeProvider
  .state('secret',
    {
      ...
      permissions: {
        only: ['admin', 'god']
      }
    });

Или также

$routeProvider
  .state('userpanel',
    {
      ...
      permissions: {
        except: ['not-logged-in']
      }
    });

Это новый, но стоит проверить!

https://github.com/Narzerus/angular-permission

Rafael Vidaurre 03 сен. 2014, в 06:47

2

что мешает мне редактировать исходный код во время выполнения и удалять вашего 'admin' || «Бог» и продолжается?
Pogrindis 25 сен. 2014, в 09:49
12

Я надеюсь, что любые запросы данных, требующие авторизации, также проверяются на сервере.
Ben Ripley 30 сен. 2014, в 13:36
24

Это не предназначено для безопасности, авторизация на стороне клиента никогда не бывает, так как вы всегда можете изменить значения. Вы даже можете перехватывать ответы со стороны сервера и оценивать их как «авторизованные». Точка разрешений / авторизации на стороне клиента состоит в том, чтобы не позволять пользователю делать запрещенные вещи для целей UX. Например, если вы выполняете действие только для администратора, даже если пользователь злонамеренно обманывает клиента, чтобы разрешить отправку ограниченного запроса на сервер, сервер все равно возвращает ответ 401. Это, конечно, всегда ответственность за реализацию API на самом деле @BenRipley
Rafael Vidaurre 16 окт. 2014, в 19:36
3

Отличный ответ на вопрос Рафаэля. Всегда защищайте API-интерфейсы, потому что передняя часть является самой оборотной, спуфинговой штукой, какой только есть.
Frankie Loscavio 22 окт. 2014, в 13:12
0

При обновлении навигатора (F5) информация о ролях обычно теряется с помощью angular-разрешения, я разместил решение на github.com/Narzerus/angular-permission/issues/36 на тот случай, если вы решите использовать этот модуль!
Aquiles 15 июль 2015, в 14:41
0

А как насчет истории браузера? Код углового разрешения предотвращает перенаправление состояния по умолчанию github.com/Narzerus/angular-permission/blob/master/src/core/…, а затем выполняет дополнительное изменение состояния github.com/Narzerus/angular-permission/blob/master/src/core /… Этот код тормозит историю браузера, поэтому, если вы нажмете кнопку «Назад», он не будет работать
Bohdan Lyzanets 23 фев. 2016, в 16:51
1

Эта проблема с историей уже давно решена @Bohdan. Вы можете безопасно использовать его даже с дополнениями UI-роутера.
masterspambot 16 апр. 2016, в 14:34

Показать ещё 5 комментариев

12

Я хотел поделиться другим решением, работающим с ui router 1.0.0.X

Как вы знаете, stateChangeStart и stateChangeSuccess теперь устарели. https://github.com/angular-ui/ui-router/issues/2655

Вместо этого вы должны использовать $transitions http://angular-ui.github.io/ui-router/1.0.0-alpha.1/interfaces/transition.ihookregistry.html

Вот как я это достиг:

Сначала у меня есть и AuthService с некоторыми полезными функциями

angular.module('myApp')

        .factory('AuthService',
                ['$http', '$cookies', '$rootScope',
                    function ($http, $cookies, $rootScope) {
                        var service = {};

                        // Authenticates throug a rest service
                        service.authenticate = function (username, password, callback) {

                            $http.post('api/login', {username: username, password: password})
                                    .success(function (response) {
                                        callback(response);
                                    });
                        };

                        // Creates a cookie and set the Authorization header
                        service.setCredentials = function (response) {
                            $rootScope.globals = response.token;

                            $http.defaults.headers.common['Authorization'] = 'Bearer ' + response.token;
                            $cookies.put('globals', $rootScope.globals);
                        };

                        // Checks if it authenticated
                        service.isAuthenticated = function() {
                            return !($cookies.get('globals') === undefined);
                        };

                        // Clear credentials when logout
                        service.clearCredentials = function () {
                            $rootScope.globals = undefined;
                            $cookies.remove('globals');
                            $http.defaults.headers.common.Authorization = 'Bearer ';
                        };

                        return service;
                    }]);

Тогда у меня есть эта конфигурация:

angular.module('myApp', [
    'ui.router',
    'ngCookies'
])
        .config(['$stateProvider', '$urlRouterProvider',
            function ($stateProvider, $urlRouterProvider) {
                $urlRouterProvider.otherwise('/resumen');
                $stateProvider
                        .state("dashboard", {
                            url: "/dashboard",
                            templateUrl: "partials/dashboard.html",
                            controller: "dashCtrl",
                            data: {
                                authRequired: true
                            }
                        })
                        .state("login", {
                            url: "/login",
                            templateUrl: "partials/login.html",
                            controller: "loginController"
                        })
            }])

        .run(['$rootScope', '$transitions', '$state', '$cookies', '$http', 'AuthService',
            function ($rootScope, $transitions, $state, $cookies, $http, AuthService) {

                // keep user logged in after page refresh
                $rootScope.globals = $cookies.get('globals') || {};
                $http.defaults.headers.common['Authorization'] = 'Bearer ' + $rootScope.globals;

                $transitions.onStart({
                    to: function (state) {
                        return state.data != null && state.data.authRequired === true;
                    }
                }, function () {
                    if (!AuthService.isAuthenticated()) {
                        return $state.target("login");
                    }
                });
            }]);

Вы можете видеть, что я использую

data: {
   authRequired: true
}

чтобы отметить доступное состояние, если оно аутентифицировано.

то, на .run, я использую переходы для проверки состояния, прошедшего проверку.

$transitions.onStart({
    to: function (state) {
        return state.data != null && state.data.authRequired === true;
    }
}, function () {
    if (!AuthService.isAuthenticated()) {
        return $state.target("login");
    }
});

Я построю этот пример, используя некоторый код, найденный в документации по переходу $. Я новичок в маршрутизаторе ui, но он работает.

Надеюсь, это может помочь кому угодно.

Sergio Fernandez 21 сен. 2016, в 14:54

0

Это отлично подходит для тех, кто использует более новый маршрутизатор. Спасибо!
mtro 11 июль 2017, в 19:53

5

Вот как мы вышли из бесконечного цикла маршрутизации и все еще использовали $state.go вместо $location.path

if('401' !== toState.name) {
  if (principal.isIdentityResolved()) authorization.authorize();
}

Jason 03 июль 2014, в 17:46

1

Кто-нибудь знает, почему при использовании принятого ответа / настройки, описанных выше, в адресной строке больше не отображается URL-адрес и все фрагменты и параметры строки запроса? После реализации этого адресная строка больше не позволяет создавать закладки для нашего приложения.
Frankie Loscavio 22 окт. 2014, в 13:44
0

Разве это не должен быть комментарий к одному из существующих ответов? Потому что в OP такого кода нет, и даже не ясно, к какому ответу / к какому коду это относится
T J 29 июнь 2016, в 06:18

2

Использовать перехватчик $http

С помощью перехватчика $http вы можете отправлять заголовки в конец или наоборот и выполнять свои проверки таким образом.

Отличная статья о $http перехватчики

Пример:

$httpProvider.interceptors.push(function ($q) {
        return {
            'response': function (response) {

                // TODO Create check for user authentication. With every request send "headers" or do some other check
                return response;
            },
            'responseError': function (reject) {

                // Forbidden
                if(reject.status == 403) {
                    console.log('This page is forbidden.');
                    window.location = '/';
                // Unauthorized
                } else if(reject.status == 401) {
                    console.log("You're not authorized to view this page.");
                    window.location = '/';
                }

                return $q.reject(reject);
            }
        };
    });

Поместите это в свою .config или .run функцию.

TSlegaitis 30 март 2017, в 11:47

2

Сначала вам понадобится служба, которую вы можете ввести в свои контроллеры, которые имеют некоторое представление о состоянии аутентификации приложения. Сохранение данных аутентификации с помощью локального хранилища - достойный способ приблизиться к нему.

Затем вам нужно будет проверить состояние auth перед изменениями состояния. Поскольку у вашего приложения есть несколько страниц, которые должны быть аутентифицированы, а другие - нет, создайте родительский маршрут, который проверяет auth, и сделает все остальные страницы, которые требуют того же самого, быть дочерним элементом этого родителя.

Наконец, вам нужно каким-то образом определить, может ли ваш пользователь в настоящий момент выполнять определенные операции. Этого можно достичь, добавив функцию "can" к вашей службе auth. Может принимать два параметра: - действие - требуется - (т.е. "manage_dashboards" или "create_new_dashboard" ) - объект - необязательный - объект работает. Например, если у вас есть объект панели мониторинга, вы можете проверить, есть ли dashboard.ownerId === loggedInUser.id. (Конечно, информация, переданная от клиента, никогда не должна быть доверенной, и вы всегда должны ее проверять на сервере, прежде чем записывать ее в свою базу данных).

angular.module('myApp', ['ngStorage']).config([
   '$stateProvider',
function(
   $stateProvider
) {
   $stateProvider
     .state('home', {...}) //not authed
     .state('sign-up', {...}) //not authed
     .state('login', {...}) //not authed
     .state('authed', {...}) //authed, make all authed states children
     .state('authed.dashboard', {...})
}])
.service('context', [
   '$localStorage',
function(
   $localStorage
) {
   var _user = $localStorage.get('user');
   return {
      getUser: function() {
         return _user;
      },
      authed: function() {
         return (_user !== null);
      },
      // server should return some kind of token so the app 
      // can continue to load authenticated content without having to
      // re-authenticate each time
      login: function() {
         return $http.post('/login.json').then(function(reply) {
            if (reply.authenticated === true) {
               $localStorage.set(_userKey, reply.user);
            }
         });
      },
      // this request should expire that token, rendering it useless
      // for requests outside of this session
      logout: function() {
         return $http.post('logout.json').then(function(reply) {
            if (reply.authenticated === true) {
               $localStorage.set(_userKey, reply.user);
            }
         });
      },
      can: function(action, object) {
         if (!this.authed()) {
            return false;
         }

         var user = this.getUser();

         if (user && user.type === 'admin') {
             return true;
         }

         switch(action) {
            case 'manage_dashboards':
               return (user.type === 'manager');
         }

         return false;


      }
   }
}])
.controller('AuthCtrl', [
   'context', 
   '$scope', 
function(
   context, 
   $scope
) {
   $scope.$root.$on('$stateChangeStart', function(event, toState, toParams, fromState, fromParams) {
      //only require auth if we're moving to another authed page
      if (toState && toState.name.indexOf('authed') > -1) {
         requireAuth();
      }
   });

   function requireAuth() {
      if (!context.authed()) {
         $state.go('login');
      }
   }
}]

** ОТКАЗ ОТ ОТВЕТСТВЕННОСТИ: вышеуказанный код является псевдокодом и не содержит гарантий **

colefner 03 май 2016, в 07:50

2

У меня есть другое решение: это решение прекрасно работает, когда у вас есть только контент, который вы хотите показать при входе в систему. Определите правило, в котором вы проверяете, если вы вошли в систему, а не путь к белым списку.

$urlRouterProvider.rule(function ($injector, $location) {
   var UserService = $injector.get('UserService');
   var path = $location.path(), normalized = path.toLowerCase();

   if (!UserService.isLoggedIn() && path.indexOf('login') === -1) {
     $location.path('/login/signin');
   }
});

В моем примере я спрашиваю, не вошел ли я в систему, и текущий маршрут, который я хочу использовать, не является частью `/login ', потому что мои маршруты белого списка следующие

/login/signup // registering new user
/login/signin // login to app

поэтому у меня есть мгновенный доступ к этим двум маршрутам, и каждый другой маршрут будет проверяться, если вы в сети.

Вот мой весь файл маршрутизации для модуля входа в систему

export default (
  $stateProvider,
  $locationProvider,
  $urlRouterProvider
) => {

  $stateProvider.state('login', {
    parent: 'app',
    url: '/login',
    abstract: true,
    template: '<ui-view></ui-view>'
  })

  $stateProvider.state('signin', {
    parent: 'login',
    url: '/signin',
    template: '<login-signin-directive></login-signin-directive>'
  });

  $stateProvider.state('lock', {
    parent: 'login',
    url: '/lock',
    template: '<login-lock-directive></login-lock-directive>'
  });

  $stateProvider.state('signup', {
    parent: 'login',
    url: '/signup',
    template: '<login-signup-directive></login-signup-directive>'
  });

  $urlRouterProvider.rule(function ($injector, $location) {
    var UserService = $injector.get('UserService');
    var path = $location.path();

    if (!UserService.isLoggedIn() && path.indexOf('login') === -1) {
         $location.path('/login/signin');
    }
  });

  $urlRouterProvider.otherwise('/error/not-found');
}

() => { /* code */ } является синтаксисом ES6, используйте вместо этого function() { /* code */ }

Chris Incoqnito 27 окт. 2015, в 08:54

Ещё вопросы

Можете ли вы поделиться с нами некоторым кодом?
@ Чанчо: Я думаю, что дело не в коде, на самом деле, я не знаю, каким кодом мне поделиться.
да, пожалуйста, поделитесь кодом, очень общий вопрос ...
@FredLackey говорит, что неаутентифицированный пользователь находится в state A Они нажимают на ссылку, чтобы перейти в protected state B но вы хотите перенаправить их в logInPage . Если $timeout нет, ui-router просто остановит все переходы между состояниями, поэтому пользователь застрянет в state A $timeout позволяет ui-router сначала предотвратить первоначальный переход в protected state B поскольку разрешение было отклонено, и после этого оно перенаправляет на logInPage .
Где на самом деле вызывается функция authenticate ?
Функция authenticate @Imray передается в качестве параметра в ui-router . Вы не должны называть это сами. ui-router вызывает это.
Почему вы используете $ locationChangeSuccess вместо $ stateChangeStart?
@ PeterDraexDräxler Я в основном следил за документацией. Заметили ли вы разницу при использовании $stateChangeStart ?
@MKSafi $ locationChangeSuccess вызывается после полной загрузки нового состояния. $ stateChangeStart запускается перед загрузкой нового состояния. Поэтому с $ locationChangeSuccess «запрещенная» страница отображается на полсекунды, а с $ stateChangeStart - нет.
@ PeterDraexDräxler О, хорошо. Я смутно вспоминаю, как пытался $stateChangeStart пока я этим занимался, но это не совсем то, что мне было нужно. Я не помню почему сейчас.
Большое спасибо, что очень помогло. Я сделал это по-другому. Я сохранил пользовательский объект как истинный в cookie, когда он вошел в систему, и сохранил его как ложный, когда он вышел и успешно смог это сделать. Спасибо ... Любая возможная проблема безопасности из-за этого?
Я пытаюсь реализовать Решение 2, и оно работает, однако мой контроллер создается во время завершения процесса, пользовательский интерфейс которого кратко отображается перед тем, как пользователь перенаправляется на страницу входа в систему. Есть ли альтернатива этому? Это явно не желаемое поведение.
во втором решении, как контролировать, когда сессия заканчивается на сервере? Я имею в виду, как вы проверяете в JS, когда у вас истек срок сеанса на сервере? что произойдет, когда сеанс будет запущен на сервере, а затем захочется получить доступ к защищенной странице?
@MKSafi я использовал второе решение, но я не могу перенаправить на домашнюю страницу, после успешной аутентификации я попробовал $state.go , window.location и т. Д. Внутри if (user.isAuthenticated()) { и обещание успеха http запроса, но это не сработало. Не могли бы вы сказать мне, почему. нет ошибок в консоли
В этом решении не представляется возможным установить параметр состояния перенаправления для отправки пользователя на страницу, которую он хотел, после того, как он вошел в систему.
взгляните на хуки $ transistions: ui-router.github.io/ng1/docs/latest/interfaces/…
Я не думаю, что это будет работать, если User.authenticaded () является асинхронным вызовом. Это Святой Грааль, за которым следуют все. Например, если каждое состояние, кроме «логин», защищено, я хочу подтвердить, что пользователь все еще аутентифицирован ПЕРЕД загрузкой любого состояния. Использование resolves - это отстой, потому что они разрешаются только один раз, и чтобы предотвратить загрузку дочерних состояний, вы должны ввести разрешение в EVERY CHILD .
authenticated не является асинхронным вызовом в моем случае: `this.authenticaded = function () {if (this.currentAccountID! == null) {return true; } вернуть ложь; }; `
Согласно: stackoverflow.com/a/38374313/849829 , «запуск» идет намного выше «обслуживания» и, следовательно, проблем. Проверка локального хранилища для аутентифицированного статуса, кажется, хороший подход.
что мешает мне редактировать исходный код во время выполнения и удалять вашего 'admin' || «Бог» и продолжается?
Я надеюсь, что любые запросы данных, требующие авторизации, также проверяются на сервере.
Это не предназначено для безопасности, авторизация на стороне клиента никогда не бывает, так как вы всегда можете изменить значения. Вы даже можете перехватывать ответы со стороны сервера и оценивать их как «авторизованные». Точка разрешений / авторизации на стороне клиента состоит в том, чтобы не позволять пользователю делать запрещенные вещи для целей UX. Например, если вы выполняете действие только для администратора, даже если пользователь злонамеренно обманывает клиента, чтобы разрешить отправку ограниченного запроса на сервер, сервер все равно возвращает ответ 401. Это, конечно, всегда ответственность за реализацию API на самом деле @BenRipley
Отличный ответ на вопрос Рафаэля. Всегда защищайте API-интерфейсы, потому что передняя часть является самой оборотной, спуфинговой штукой, какой только есть.
При обновлении навигатора (F5) информация о ролях обычно теряется с помощью angular-разрешения, я разместил решение на github.com/Narzerus/angular-permission/issues/36 на тот случай, если вы решите использовать этот модуль!
А как насчет истории браузера? Код углового разрешения предотвращает перенаправление состояния по умолчанию github.com/Narzerus/angular-permission/blob/master/src/core/…, а затем выполняет дополнительное изменение состояния github.com/Narzerus/angular-permission/blob/master/src/core /… Этот код тормозит историю браузера, поэтому, если вы нажмете кнопку «Назад», он не будет работать
Эта проблема с историей уже давно решена @Bohdan. Вы можете безопасно использовать его даже с дополнениями UI-роутера.
Это отлично подходит для тех, кто использует более новый маршрутизатор. Спасибо!
Кто-нибудь знает, почему при использовании принятого ответа / настройки, описанных выше, в адресной строке больше не отображается URL-адрес и все фрагменты и параметры строки запроса? После реализации этого адресная строка больше не позволяет создавать закладки для нашего приложения.
Разве это не должен быть комментарий к одному из существующих ответов? Потому что в OP такого кода нет, и даже не ясно, к какому ответу / к какому коду это относится

HackedByChinese · Accepted Answer · 2014-03-20T18-21-00.000Z

Я делаю более приятную демонстрацию, а также очищаю некоторые из этих сервисов в полезном модуле, но вот то, что я придумал. Это сложный процесс, чтобы обойти некоторые предостережения, поэтому повесьте там. Вам нужно разбить это на несколько частей.

Взгляните на этот плунжер.

Сначала вам нужна служба для хранения идентификатора пользователя. Я называю это principal. Он может быть проверен, чтобы узнать, вошел ли пользователь в систему и по запросу он может разрешить объект, представляющий существенную информацию об идентификаторе пользователя. Это может быть все, что вам нужно, но основное - это отображаемое имя, имя пользователя, возможно, электронное письмо и роли, к которым принадлежит пользователь (если это относится к вашему приложению). Принципал также имеет методы проверки ролей.

.factory('principal', ['$q', '$http', '$timeout',
  function($q, $http, $timeout) {
    var _identity = undefined,
      _authenticated = false;

    return {
      isIdentityResolved: function() {
        return angular.isDefined(_identity);
      },
      isAuthenticated: function() {
        return _authenticated;
      },
      isInRole: function(role) {
        if (!_authenticated || !_identity.roles) return false;

        return _identity.roles.indexOf(role) != -1;
      },
      isInAnyRole: function(roles) {
        if (!_authenticated || !_identity.roles) return false;

        for (var i = 0; i < roles.length; i++) {
          if (this.isInRole(roles[i])) return true;
        }

        return false;
      },
      authenticate: function(identity) {
        _identity = identity;
        _authenticated = identity != null;
      },
      identity: function(force) {
        var deferred = $q.defer();

        if (force === true) _identity = undefined;

        // check and see if we have retrieved the 
        // identity data from the server. if we have, 
        // reuse it by immediately resolving
        if (angular.isDefined(_identity)) {
          deferred.resolve(_identity);

          return deferred.promise;
        }

        // otherwise, retrieve the identity data from the
        // server, update the identity object, and then 
        // resolve.
        //           $http.get('/svc/account/identity', 
        //                     { ignoreErrors: true })
        //                .success(function(data) {
        //                    _identity = data;
        //                    _authenticated = true;
        //                    deferred.resolve(_identity);
        //                })
        //                .error(function () {
        //                    _identity = null;
        //                    _authenticated = false;
        //                    deferred.resolve(_identity);
        //                });

        // for the sake of the demo, fake the lookup
        // by using a timeout to create a valid
        // fake identity. in reality,  you'll want 
        // something more like the $http request
        // commented out above. in this example, we fake 
        // looking up to find the user is
        // not logged in
        var self = this;
        $timeout(function() {
          self.authenticate(null);
          deferred.resolve(_identity);
        }, 1000);

        return deferred.promise;
      }
    };
  }
])

Во-вторых, вам нужна служба, которая проверяет состояние, к которому пользователь хочет перейти, убедитесь, что они вошли в систему (при необходимости, не обязательно для signin, password reset и т.д.), а затем выполняет роль проверьте (если ваше приложение нуждается в этом). Если они не аутентифицированы, отправьте их на страницу входа. Если они аутентифицированы, но не выполняют проверку роли, отправьте их на страницу с запретом доступа. Я вызываю эту службу authorization.

.factory('authorization', ['$rootScope', '$state', 'principal',
  function($rootScope, $state, principal) {
    return {
      authorize: function() {
        return principal.identity()
          .then(function() {
            var isAuthenticated = principal.isAuthenticated();

            if ($rootScope.toState.data.roles
                && $rootScope.toState
                             .data.roles.length > 0 
                && !principal.isInAnyRole(
                   $rootScope.toState.data.roles))
            {
              if (isAuthenticated) {
                  // user is signed in but not
                  // authorized for desired state
                  $state.go('accessdenied');
              } else {
                // user is not authenticated. Stow
                // the state they wanted before you
                // send them to the sign-in state, so
                // you can return them when you're done
                $rootScope.returnToState
                    = $rootScope.toState;
                $rootScope.returnToStateParams
                    = $rootScope.toStateParams;

                // now, send them to the signin state
                // so they can log in
                $state.go('signin');
              }
            }
          });
      }
    };
  }
])

Теперь вам нужно только слушать ui-router $stateChangeStart. Это дает вам возможность изучить текущее состояние, состояние, в котором они хотят перейти, и вставить свою проверку авторизации. Если это не удается, вы можете отменить переход по маршруту или перейти на другой маршрут.

.run(['$rootScope', '$state', '$stateParams', 
      'authorization', 'principal',
    function($rootScope, $state, $stateParams, 
             authorization, principal)
{
      $rootScope.$on('$stateChangeStart', 
          function(event, toState, toStateParams)
      {
        // track the state the user wants to go to; 
        // authorization service needs this
        $rootScope.toState = toState;
        $rootScope.toStateParams = toStateParams;
        // if the principal is resolved, do an 
        // authorization check immediately. otherwise,
        // it'll be done when the state it resolved.
        if (principal.isIdentityResolved()) 
            authorization.authorize();
      });
    }
  ]);

Сложная часть отслеживания идентификатора пользователя ищет его, если вы уже прошли аутентификацию (скажем, вы посещаете страницу после предыдущего сеанса и сохраняете токен аутентификации в файле cookie, или, может быть, вы сильно обновили страницы или удалены по URL-адресу из ссылки). Из-за того, как работает ui-router, вам нужно сделать свое удостоверение личности раз, прежде чем ваши проверки будут проверены. Вы можете сделать это, используя опцию resolve в вашей конфигурации состояния. У меня есть одно родительское состояние для сайта, на которое наследуются все государства, что заставляет принципала быть разрешенным, прежде чем что-либо еще произойдет.

$stateProvider.state('site', {
  'abstract': true,
  resolve: {
    authorize: ['authorization',
      function(authorization) {
        return authorization.authorize();
      }
    ]
  },
  template: '<div ui-view />'
})

Здесь есть еще одна проблема... resolve только вызывается один раз. После того, как ваше обещание для поиска идентичности завершится, он не будет снова выполнять делегат разрешения. Таким образом, мы должны выполнить ваши проверки подлинности в двух местах: один раз в соответствии с вашим обещанием по идентификации, разрешающим в resolve, который распространяется при первом загрузке приложения, и один раз в $stateChangeStart, если разрешение было выполнено, которое охватывает любое время вы перемещаетесь по состояниям.

ОК, так что мы сделали до сих пор?

Мы проверяем, когда приложение загружается, если пользователь вошел в систему.
Мы отслеживаем информацию о зарегистрированном пользователе.
Мы перенаправляем их для входа в состояние для состояний, требующих входа пользователя.
Мы перенаправляем их в состояние отказа в доступе, если у них нет авторизации для доступа к нему.
У нас есть механизм перенаправления пользователей обратно в исходное состояние, которое они запросили, если нам нужно, чтобы они вошли в систему.
Мы можем подписывать пользователя (необходимо подключить его вместе с любым кодом клиента или сервера, который управляет вашим авторизационным билетом).
Нам не нужно отправлять пользователей обратно на страницу входа каждый раз, когда они перезагружают свой браузер или переходят по ссылке.

Куда мы идем дальше? Ну, вы можете организовать свои штаты в регионах, для которых требуется вход. Вы можете потребовать аутентифицированных/авторизованных пользователей, добавив data с помощью roles в эти состояния (или родительский элемент, если вы хотите использовать наследование). Здесь мы ограничиваем ресурс Админами:

.state('restricted', {
    parent: 'site',
    url: '/restricted',
    data: {
      roles: ['Admin']
    },
    views: {
      'content@': {
        templateUrl: 'restricted.html'
      }
    }
  })

Теперь вы можете контролировать состояние в зависимости от того, какие пользователи могут получить доступ к маршруту. Любые другие проблемы? Может быть, меняется только часть представления на основе того, вошли ли они в систему? Нет проблем. Используйте principal.isAuthenticated() или даже principal.isInRole() с помощью любого из многочисленных способов условного отображения шаблона или элемента.

Сначала вставьте principal в контроллер или что-то в этом роде и привяжите его к области, чтобы вы могли легко использовать ее в своем представлении:

.scope('HomeCtrl', ['$scope', 'principal', 
    function($scope, principal)
{
  $scope.principal = principal;
});

Показать или скрыть элемент:

<div ng-show="principal.isAuthenticated()">
   I'm logged in
</div>
<div ng-hide="principal.isAuthenticated()">
  I'm not logged in
</div>

Etc., так далее, и так далее. В любом случае, в вашем примере приложения, у вас будет состояние для домашней страницы, которое позволит пропускать не прошедших проверку пользователей. Они могут иметь ссылки на состояния входа или регистрации или иметь эти формы, встроенные в эту страницу. Что вам подходит.

Страницы на панели мониторинга могут наследоваться от состояния, которое требует, чтобы пользователи вошли в систему и, скажем, были членом роли User. Все материалы авторизации, которые мы обсуждали, будут поступать оттуда.

Спасибо, это действительно помогло мне собрать свой собственный код. $state.go , если вы получаете бесконечный цикл маршрутизации (ошибка UI Router), попробуйте $location.path вместо $state.go .
Это отличный ответ, и он мне очень помог. Когда я устанавливаю user = Principal в моем контроллере и пытаюсь вызвать say user.identity (). Name, на мой взгляд, чтобы получить имя пользователя, вошедшего в систему в данный момент, я, кажется, получаю только объект обещания {then: fn, catch: fn, finally :} возвращается, а не фактический объект _identity. Если я использую user.identity.then (fn (user)), я могу получить пользовательский объект, но это кажется большим количеством кода для представления, я что-то упустил?
@ Ir1sh Я бы сначала разрешил идентификацию в контроллере и назначил ее в $scope.user в вашей функции then . Вы по-прежнему можете ссылаться на user в своих представлениях; когда это решено, представление будет обновлено.
@HackedByChinese Я думаю, что ваша демонстрация больше не работает.
HackedByChinese: если я вызываю мое приложение, например localhost / app / index.html # / state22, то также запускается $ stateChangeStart, так зачем вам родительский "сайт"? @Blowie Нет, его демонстрация работает хорошо (проверено IE 11).
@Blowie Я вижу небольшую ошибку, если я выхожу из системы, а затем снова пытаюсь войти в нее, если вы на нее ссылаетесь.
@Sebastian Мне нужно убедиться, что первое состояние, в которое браузер переходит, вызывает мой код resolve чтобы заставить его проверить, не был ли я уже вошел в систему. Например, если я вхожу в систему и перехожу в state22 и вручную обновляю свой браузер, я не хочу, чтобы он снова отправлял меня на страницу входа. Моя логика resolve позаботится об этом для меня, при условии, что resolve установлено для каждого состояния, в котором я хочу, чтобы это поведение (которое я предполагаю, будет любым состоянием в приложении). Я не хочу вручную добавлять resolve для каждого состояния в моем приложении; это слишком много печатать. Я сохраняю некоторые символы, используя parent: 'site' .
Хорошо, я видел это только тогда, когда сделал «без сохранения состояния» вызов на мою страницу, не вызывая otherwise('somestate') , тогда событие otherwise('somestate') не вызывается. Поэтому мне нужно будет использовать parent: 'site'
@jvannistelrooy У меня были проблемы с go () to, но после помещения его внутрь затем после вызова noop-функции, подобной этой $q.when(angular.noop).then(function(){$state.go('myState') все работает, как и ожидалось. Если я вызову $state.go пока другой переход состояния не будет завершен, он не будет работать (я думаю, именно поэтому он не будет работать).
@HackedByChinese, должно быть, это временная проблема с plunkr или моей машиной, теперь она работает нормально. Мне не нравится тот факт, что все маршруты являются детьми маршрута сайта. Есть ли способ обойти это? Я пробовал распознаватель на всех маршрутах, но в результате все дочерние маршруты также будут вызывать authorize . В результате это называется мое время на смену страницы
Может быть, я что-то упускаю, но есть ли у вас логика, чтобы отправить пользователя на страницу входа, когда он не вошел в систему и пытается получить доступ к странице, которая требует входа? (Кажется, он работает только в том случае, если в State есть роли, в которых пользователь не находится. Но у вас только текущая роль - «Администратор». Я выполнил аналогичную настройку, у меня есть родительское состояние «root» и «root.auth». родительское состояние, что все страницы, которые требуют входа, находятся под. Тогда у меня есть роли, чтобы ограничить доступ за пределами только что вошли в систему.
Я настроил авторизацию для входа в требуемые состояния (и те, которые не требуют). Моя проблема заключается в том, что когда пользователь, не вошедший в систему, сразу переходит на страницу, требующую этого, в то время как вызов authorize () связывается с API сеанса на сервере, я получаю около 4 вызовов в сеансе (я думаю, что он зацикливается, пока сеанс не наступит) назад). У кого-нибудь еще есть это и есть чистое решение? В противном случае, Прекрасная работа, хотя я не использовал эти 100% напрямую, я определенно украл большинство идей отсюда, действительно доволен результатом, за исключением этого.
Одна последняя вещь. Мне также все еще нужно иметь дело с тем, выходит ли пользователь из другого окна или сеанс на бэкэнде закрывается, пока пользователь все еще находится на странице «залогинен». Я думаю о просмотре вызовов API в разрешении каждого состояния, если они возвращаются не авторизованными, перейдите в состояние входа в систему. Есть лучшие методы, возможно, те, которые не требуют кода в каждом зарегистрированном состоянии.
@BobMonteverde Вы можете добавить флаг к данным ваших состояний, allowAnonymous и обновить логику authorization.authorize чтобы позволить неаутентифицированным пользователям toState , если этот флаг имеет значение true для toState , в противном случае роли проверяются, как и раньше. Я не могу комментировать зацикленные вызовы, которые вы видите; откройте новый вопрос, и мы можем исследовать. Что касается выхода из системы, вы определенно можете наблюдать за 401 с перехватчиком http (вы можете даже ставить в очередь неудавшиеся вызовы и воспроизводить их после повторного входа в систему). Кроме того, посмотрите на github.com/hackedbychinese/ng-idle для обработки неактивных пользователей.
@Sebastian Не могли бы вы объяснить, что делает $q.when(angular.noop) и почему он работает? Спасибо
@ Сидней, это просто фиктивное обещание, дающее другим обещаниям шанс позвонить до того, как будет объявлено изменение состояния.
@HackedByChinese +1, Привет, просто спрашиваю, есть ли у вас новая / обновленная реализация вашего кода. Может быть, что-то, что поддерживает автономный режим. Спасибо!
@HackedByChinese Я обнаружил, что это работает в веб-браузере, но не в PhoneGap. У меня проблема с resolve , она всегда перенаправляется на $stateChangeError . Любая идея?
Кто-нибудь знает, почему при использовании принятого ответа / настройки, описанных выше, в адресной строке больше не отображается URL-адрес и все фрагменты и параметры строки запроса? После реализации этого адресная строка больше не позволяет создавать закладки для нашего приложения.
шаблон: '<ui-view />', является требованием абстрактных состояний ui.router github.com/angular-ui/ui-router/wiki/…
Каков вариант использования принципа.identity (true)?
@Andi Если вы хотите или должны заставить его повторно разрешить личность (тем самым заставляя его отправлять веб-запрос для проверки вашей личности на удаленном сервере или каким-либо другим механизмом), а не продолжать использовать личность, которую вы кэшировали на сторона клиента. Например, если вы сделали запрос к ресурсу и получили 401, вам может потребоваться очистить кэшированную идентификационную информацию, чтобы убедиться, что утверждения пользователя по-прежнему действительны, прежде чем разрешить им делать доступ или получить доступ к защищенным ресурсам. Или, возможно, вы будете периодически делать это, чтобы удостовериться, что пользователь все еще вошел в систему и авторизован.
Не технический вопрос, но почему вы называете это «основным»? Имя смущает меня; Я не знаю, чего ожидать от такой услуги за чистую монету. Разве это не может быть названо чем-то вроде «currentUser» или «посетитель»?
Вы можете называть это как хотите. Я из мира .NET, где Принципал представляет как личность, так и роли, назначенные физическому пользователю, поэтому этот термин был для меня естественным. Если вам удобнее с чем-то другим, это ничего не изменит, если вы измените все свои ссылки на соответствующие.
Я получил следующую ошибку при загрузке страницы индекса, где находится ng-show="principal.isAuthenticated()" 0x800a139e - JavaScript runtime error: [$rootScope:infdig] 10 $digest() iterations reached. Aborting! Watchers fired in the last 5 iterations: [] ng-show="principal.isAuthenticated()" 0x800a139e - JavaScript runtime error: [$rootScope:infdig] 10 $digest() iterations reached. Aborting! Watchers fired in the last 5 iterations: []
Могу ли я получить некоторую экспериментальную обратную связь от использования этого примера, если возможно, что вы думаете, чтобы написать его в Typescript, пожалуйста?
$ stateChangeStart не запускается, потому что все события состояния теперь отключены по умолчанию, начиная с версии ui-router 1.0.0alpha0. Поскольку события состояния теперь устарели, не могли бы вы обновить свой пример для использования переходов? github.com/angular-ui/ui-router/releases/tag/1.0.0alpha0
@ user64141 Существует файл stateEvents.js который имитирует старое поведение, реализованное с новым объектом Transition, вы можете посмотреть там. Это будет что-то вроде этого: $transitions.onStart({to: '*'}, function($transition$) { $rootScope.toState = $transition$.to(); $rootScope.toStateParams = $transition$.params('to'); });
Без обид, но этот пример кода, который вы предоставили в своем ответе, не читается!

угловая аутентификация ui-роутера

10 ответов

Решение 1: прослушивание $locationChangeSuccess

Решение 2: использование состояния resolve

Ещё вопросы

Решение 1: прослушивание `$locationChangeSuccess`

Решение 2: использование состояния `resolve`