Не трябва да влизате в ъглова страница, тъй като всички свързани данни се обработват от javascript, който лесно може да бъде спрян, отстранен и анализиран.
По-добрият начин би бил:
- Създайте нормален index.php, който представя формуляр за вход на потребителя.
- При изпращане проверете за валидност с вашата база данни.
- Ако потребителят е валиден, стартирайте сесия и
header
към действителната страница на приложението angular. - Единственият начин да проверите дали това е валидна
php session
е във вашияREST
повиквания чрез angularhttp
услуга за свързаните с вашата база данни php скриптове. - Така че всеки достъп за четене/запис до вашия
REST api
трябва да провери дали този потребител наистина има право да извършва тази db операция в php скрипта. - Ако проверката не успее,
header
обратно към страницата за вход или някакво "Разбрах!" страница.
По този начин нападателят може да може да види js кода на приложението angular (ако по някакъв начин се сдобие с действителния адрес), но това е напълно безполезно за него, защото никога не може да види действителните данни, стига да не е стартирал валидна php session
. И данните са това, което искате да защитите, а не скриптът на приложението.
Накратко:Смесете стандартна проверка на PHP И Angular. Позволете на haxors да стигнат до вашата страница, но никога, никога не им показвайте нито една от основните ви данни. Веднага щом някой се опита да се забърка с вашите данни, изхвърлете го.
Това е почти същият отговор, който дадох тук
Потърсете отбелязаните ключови думи в сайтовете на PHP и Angular, за да разберете идеята зад това.