在何处安全地将凭据(用户名和密码)放置在Angular8代码中以访问受保护的SpringBoot Rest API

Question

我们开发了一个web应用程序，该应用程序使用Angular8作为前端，使用SpringBoot作为服务API。我们使用基本身份验证保护SpringBoot应用程序。因此，当我们需要从前端angular代码调用API时，我们需要将用户名和密码与API标头一起发送。

因此，我们将用户名和密码保存在angular项目的environment.js文件中。这些凭据在加载到浏览器中的客户端代码中公开。

所以，有没有人能帮我把这些凭证放在Angular代码中的什么地方？

Answer 1

不建议在代码中存储凭据

要回答你的问题，你可以将它存储在localStorage，sessionStorage中，或者你可以使用HttpInterceptor，在其中你可以自动为你的每个请求添加头部。有关更多信息，请阅读Authenticaion using the HttpClient and HttpInterceptors

建议使用基于令牌的身份验证器-用户将提供其凭据，并获得唯一的、有时间限制的访问令牌。您可以管理令牌创建、检查有效性、过期。