Регистрация на AngularJS 5 используя PHP Yii2 бэкенд. Как проверять состояние регистрации?

Question

[Alexey]

Я использую Yii2 фреймворк для backend. Есть определенная логика регистрации. Приложение на Ангуляр не находится внутри Yii. Фактически 2 отдельно стоящих сервера.

Вопрос, каким образом, проверять является ли юзер зарегистрированным внутри Angular? Что использовать чтобы было безопасно, современно и не обременяло сильно сервер?

Answer 1

[Иван Корюков]

Как обычно - сервер создаёт сессию, и её номер сохраняет в куки. А вы при каждом запросе к серверу эти куки передаёте, и сервер видит содержимое сессии, если там пусто - то не авторизован, а если там лежит то, что вы туда положили при авторизации - то, блин, авторизован.

Т.е. ваш случай ничем не отличается от классического web-приложения.

Comments

[Alexey]

А мне нужно чтобы при каждом роутинге на другую страницу, я мог проверить. Сессии и куки здесь будут как мне кажется слишком тяжелы для сервера. Я предполагал веб сокеты или что-то наподобие, неужто за столько лет ничего другого не придумали... :-(

[Иван Корюков]

Серверу совсем не тяжело отдать данные из сессии. По крайней мере это довольно спорный момент - что лучше: очень много быстрых запросов или много открытых соккетов.

Но постойте. Допустим вы сделали SPA с десятью "страницами". Вы хотите при переходе по страницам проверять их доступность. Но делать это надо не при переходе на страницу, а до этого. Надо не давать пользователю кнопок/ссылок, для перехода на старницы.

У вас где-то в корне приложения должна храниться "карта" возможностей, на основании которой вы будете делать ng-if элементов навигации. Должна быть карта по умолчанию (для гостя) и если гость входит (а это ajax-запрос), то сервер возвращает его персональную карту, на основании его ролей и прав.

Однако пользователь может хакнуть ваш код и таки открыть недоступную страницу. Что он там увидит? Точнее что надо защитить? Варианта два - либо надо защитить данные, которые показываются на странице, либо надо защитить сервер, от выполнения действий на нём.
Второе проще. Всякое действие с сервером это ajax запрос, сервер сам посмотрит на сессию и увидит что пользователь не авторизован.
А первое тоже несложно. Вы же не отдаёте конфиденциальные данные всем подряд, в надежде что они не откроют инспектор?) При переходе на роут, вы так или иначе получаете данные для этой страницы с сервера. Опять же - сервер при отдаче данных может посмотреть в сессию и не отдать данные, если пользователь не авторизован.

Заметьте - никаких лишних запросов. Никакой нагрузки на сервер. За столько лет.. и придумывать ничего не надо)

[Alexey]

Иван Корюков, Ок, спасибо большое за ответ!