Как организовать безопасность структуры приложения в Ember?

Question

[fsamorodov]

Всем привет!

Вот какое дело:
Есть приложение для автоматизации бизнеса на Эмбере. Когда юзер заходит в приложение, даже если он еще не авторизован, у него есть доступ к структуре приложения, по которой можно понять некую бизнес логику.

Вопрос: как на бэкенде организовать авторизацию, чтобы Эмбер загружался только после регистрации средствами бэкенда?

Причем Эмбер должен получить информацию о сессии.

Заранее спасибо!

Answer 1

[Станислав Романов]

Тут все зависит от вашего бэкенда и системы авторизации которую используете.

Эмбер должне загружаться, и проверять сессию, а заодно можно утягивать актуальные данные.
Если сессия валидна продолжает работу, если нет редиректит на страницу логина. Момент проверки можно делать в инициалайзере. Так же может быть, что какие-то роуты должны быть закрыты для анонимных пользователей, а какие-то нет (например справка). Тогда защищать нужные страницы нужно на уровне роута, при его активации.

Судя по вопросу использовать ember-simple-auth похоже так не начали?

Comments

[fsamorodov]

Используем как раз ее. Дело в том, что при деплое эмбер собирает все скрипты в один файл. Пользователь заходит в приложение впервые, его сразу перебрасывает на страничку авторизации. Но уже на этом этапе, не залогиневшись, пользователь может получить информацию о структуре приложения исследовав js файл. А именно какие мы используем модели, какие у нас есть руты и так далее.

Задача в том, чтобы до авторизации пользователь никак не смог исследовать js файл. Чтобы приложение запускалось только после авторизации подтягивая всю логику.

[Станислав Романов]

А вот оно что.

Храните токен сессии в куки, и при первом обращении проверяйте на бэкенде этот токен. Если старый или его нет, отдавайте html страничку (заглушку) с формой авторизации, без js логики вообще.