Как можно запретить доступ к ресурсам без аутентификации?

Question

[ArtKV]

Есть проект на Node.js + Angular, для аутентификации используется passport.js.
При запуске проекта, пользователю доступна страница с авторизацией и регистрацией.
После успешного входа на сайт, происходит переадресация на основное содержимое сайта таким образом:
res.sendfile('./public/main.html');
В адресной строке при этом отображается следующее: 127.0.0.1:2300/#!

Вопрос: как запретить прямой доступ к main.html (да и остальным страницам) из адресной строки, если пользователь не был аутентифицирован?

Answer 1

[Robur]

Например так как в документации написано: www.passportjs.org/docs/authorize
поставьте это в статические роуты

Comments

[ArtKV]

Если честно, я не очень понимаю, что нужно делать.
Вообще при вводе любой страницы вида 127.0.0.1/auth, 127.0.0.1/register и прочих, или при обращении к несуществующему html файлу - 127.0.0.1/none.html - срабатывает вот такой роут:
app.get("/*", helpers.common.generateMainPage);
который перенаправляет нас на функцию такую:

generateMainPage : function(req, res) {
        if (req.isAuthenticated()) {
            console.log('вход выполнен');
            res.sendfile('./public/main.html');
        }
        else {
            console.log('вход не выполнен');
            res.sendfile('./public/auth.html');
        }
    }

И всё бы хорошо, но в случае перехода с помощью адресной строки к main.html, в консоль выводится сообщение о том, что вход выполнен не был, но sendfile не срабатывает. Во всех остальных случаях происходит перенаправление на auth.html как надо.

К слову, main.html - страница, собирающаяся из трёх отдельных кусков html-разметки.
Тот, кто делал этот проект, говорит, что дело может быть в настройках сервера, в котором прописано просто возвращать html страницу. Но где это смотреть и как править, я не знаю.
Как вариант, мне предлагали написать что-то в app контроллере, но и там я не знаю примерно что нужно описывать.

[Robur]

Как вы определяете что sendfile "не срабатывает" ? у вас перенаправления вообще нет как такового тут, просто отдаете разный html. Посмотрите в девтулзах браузера что там за запросы и какие ответы от сервера.
Это может еще и какая-нибудь маршрутизация на ангуляре так работает.
Проверьте отдельно сервер, без приложения на уровне http запросов для начала

[ArtKV]

Robur, насчёт sendfile сделал такой вывод, поскольку при запросах на 127.0.0.1:2300/login есть ответ в виде страницы main.html, двух разных index.html + различные js и css файлы, или, в случае неудачной попытки входа, возвращается снова auth.html, с которой посылался запрос.
А при переходе на html-страницу из адресной строки, выполняется get-запрос с адресом 127.0.0.1:2300/main.html, который просто возвращает эту страницу безо всякой промежуточной логики.
Сегодня ещё нашёл сообщение от того человека, который писал приложение, что можно проверять вошёл ли пользователь на сайт через клиентскую часть с помощью angular, но разве это надёжно?

[Robur]

Проверять на стороне клиента - не надежно. Только в качестве упрощения/улучшения UI.
С SPA правильнее всего делать так чтобы страница была всего одна в принципе. Вы отдаете приложение - и дальше она уже показывает нужный интерфейс будь это страница логина или еще что-то.

По вашему случаю - скорее всего у вас есть app.use(express.static(...)) - вот с ним и разбирайтесь. или прикручивайте проверку сессии туда тоже, или ставьте свой middleware перед express.static и там проверяйте не только пользователя, а что именно ему нужно - если это статичный файл и это не main.html -отдавать без проверки