Authentification AngularJS $ http, CORS et http

Question 1

Parce que l'utilisation de l'authentification CORS et http avec AngularJS peut être délicate, j'ai modifié la question pour partager une leçon apprise. Je tiens d'abord à remercier igorzg. Sa réponse m'a beaucoup aidé. Le scénario est le suivant: Vous souhaitez envoyer une requête POST à un domaine différent avec le service AngularJS $ http. Il y a plusieurs choses délicates à prendre en compte lors de l'obtention d'AngularJS et de la configuration du serveur.

Premièrement: dans la configuration de votre application, vous devez autoriser les appels interdomaines

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  [email protected] for contacts and 
 *  suggestions. 
 **/ 
app.config(function($httpProvider) {
    //Enable cross domain calls
    $httpProvider.defaults.useXDomain = true;
});

Deuxièmement: vous devez spécifier withCredentials: true et nom d'utilisateur et mot de passe dans la demande.

 /**
  *  Cors usage example. 
  *  @author Georgi Naumov
  *  [email protected] for contacts and 
  *  suggestions. 
  **/ 
   $http({
        url: 'url of remote service',
        method: "POST",
        data: JSON.stringify(requestData),
        withCredentials: true,
        headers: {
            'Authorization': 'Basic bashe64usename:password'
        }
    });

Тhird: configuration du serveur. Vous devez fournir:

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  [email protected] for contacts and 
 *  suggestions. 
 **/ 
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://url.com:8080");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization");

Pour chaque demande. Lorsque vous recevez OPTION, vous devez réussir:

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  [email protected] for contacts and 
 *  suggestions. 
 **/ 
if($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
   header( "HTTP/1.1 200 OK" );
   exit();
}

L'authentification HTTP et tout le reste viennent après cela.

Voici un exemple complet d'utilisation du côté serveur avec php.

<?php
/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  [email protected] for contacts and 
 *  suggestions. 
 **/ 
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://url:8080");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization");

if($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
   header( "HTTP/1.1 200 OK" );
   exit();
}


$realm = 'Restricted area';

$password = 'somepassword';

$users = array('someusername' => $password);


if (isset($_SERVER['PHP_AUTH_USER']) == false ||  isset($_SERVER['PHP_AUTH_PW']) == false) {
    header('WWW-Authenticate: Basic realm="My Realm"');

    die('Not authorised');
}

if (isset($users[$_SERVER['PHP_AUTH_USER']]) && $users[$_SERVER['PHP_AUTH_USER']] == $password) 
{
    header( "HTTP/1.1 200 OK" );
    echo 'You are logged in!' ;
    exit();
}
?>

Il y a un article sur mon blog sur ce problème qui peut être vu ici .

Question 2

Non, vous n'êtes pas obligé de mettre des informations d'identification, vous devez mettre les en-têtes côté client, par exemple:

 $http({
        url: 'url of service',
        method: "POST",
        data: {test :  name },
        withCredentials: true,
        headers: {
                    'Content-Type': 'application/json; charset=utf-8'
        }
    });

Et et côté serveur, vous devez mettre des en-têtes à cet exemple pour nodejs:

/**
 * On all requests add headers
 */
app.all('*', function(req, res,next) {


    /**
     * Response settings
     * @type {Object}
     */
    var responseSettings = {
        "AccessControlAllowOrigin": req.headers.origin,
        "AccessControlAllowHeaders": "Content-Type,X-CSRF-Token, X-Requested-With, Accept, Accept-Version, Content-Length, Content-MD5,  Date, X-Api-Version, X-File-Name",
        "AccessControlAllowMethods": "POST, GET, PUT, DELETE, OPTIONS",
        "AccessControlAllowCredentials": true
    };

    /**
     * Headers
     */
    res.header("Access-Control-Allow-Credentials", responseSettings.AccessControlAllowCredentials);
    res.header("Access-Control-Allow-Origin",  responseSettings.AccessControlAllowOrigin);
    res.header("Access-Control-Allow-Headers", (req.headers['access-control-request-headers']) ? req.headers['access-control-request-headers'] : "x-requested-with");
    res.header("Access-Control-Allow-Methods", (req.headers['access-control-request-method']) ? req.headers['access-control-request-method'] : responseSettings.AccessControlAllowMethods);

    if ('OPTIONS' == req.method) {
        res.send(200);
    }
    else {
        next();
    }


});

Question 3

Pour faire une requête CORS, il faut ajouter des en-têtes à la requête ainsi que ceux dont il a besoin pour vérifier si mode_header est activé dans Apache.

Pour activer les en-têtes dans Ubuntu:

sudo a2enmod headers

Pour que le serveur php accepte les demandes provenant de différentes origines, utilisez:

Header set Access-Control-Allow-Origin *
Header set Access-Control-Allow-Methods "GET, POST, PUT, DELETE"
Header always set Access-Control-Allow-Headers "x-requested-with, Content-Type, origin, authorization, accept, client-security-token"

Answer 1

Parce que l'utilisation de l'authentification CORS et http avec AngularJS peut être délicate, j'ai modifié la question pour partager une leçon apprise. Je tiens d'abord à remercier igorzg. Sa réponse m'a beaucoup aidé. Le scénario est le suivant: Vous souhaitez envoyer une requête POST à un domaine différent avec le service AngularJS $ http. Il y a plusieurs choses délicates à prendre en compte lors de l'obtention d'AngularJS et de la configuration du serveur.

Premièrement: dans la configuration de votre application, vous devez autoriser les appels interdomaines

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  [email protected] for contacts and 
 *  suggestions. 
 **/ 
app.config(function($httpProvider) {
    //Enable cross domain calls
    $httpProvider.defaults.useXDomain = true;
});

Deuxièmement: vous devez spécifier withCredentials: true et nom d'utilisateur et mot de passe dans la demande.

 /**
  *  Cors usage example. 
  *  @author Georgi Naumov
  *  [email protected] for contacts and 
  *  suggestions. 
  **/ 
   $http({
        url: 'url of remote service',
        method: "POST",
        data: JSON.stringify(requestData),
        withCredentials: true,
        headers: {
            'Authorization': 'Basic bashe64usename:password'
        }
    });

Тhird: configuration du serveur. Vous devez fournir:

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  [email protected] for contacts and 
 *  suggestions. 
 **/ 
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://url.com:8080");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization");

Pour chaque demande. Lorsque vous recevez OPTION, vous devez réussir:

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  [email protected] for contacts and 
 *  suggestions. 
 **/ 
if($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
   header( "HTTP/1.1 200 OK" );
   exit();
}

L'authentification HTTP et tout le reste viennent après cela.

Voici un exemple complet d'utilisation du côté serveur avec php.

<?php
/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  [email protected] for contacts and 
 *  suggestions. 
 **/ 
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://url:8080");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization");

if($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
   header( "HTTP/1.1 200 OK" );
   exit();
}


$realm = 'Restricted area';

$password = 'somepassword';

$users = array('someusername' => $password);


if (isset($_SERVER['PHP_AUTH_USER']) == false ||  isset($_SERVER['PHP_AUTH_PW']) == false) {
    header('WWW-Authenticate: Basic realm="My Realm"');

    die('Not authorised');
}

if (isset($users[$_SERVER['PHP_AUTH_USER']]) && $users[$_SERVER['PHP_AUTH_USER']] == $password) 
{
    header( "HTTP/1.1 200 OK" );
    echo 'You are logged in!' ;
    exit();
}
?>

Il y a un article sur mon blog sur ce problème qui peut être vu ici .

Answer 2

La question est éditée.

Georgi Naumov

Answer 3

2

Je suis un peu confus, c'est angularjs mais vous l'avez enveloppé dans des balises PHP .... ai-je raté quelque chose?

onaclov2000

Answer 4

Ceci n'est qu'un exemple de logique côté serveur. Le texte ci-dessous "Тhird: Configuration du serveur" est une logique côté serveur.

Georgi Naumov

Answer 5

@ onaclov2000 AngularJS est pour le côté client. Cela peut parler à n'importe quel serveur, PHP, Ruby, Perl, Python, Java, JavaScript ... Je pourrais continuer ..

Eric Hodonsky

Answer 6

1

Est-ce une question? C'est plutôt une bonne réponse :)

Mohammad Kermani

Answer 7

Non, vous n'êtes pas obligé de mettre des informations d'identification, vous devez mettre les en-têtes côté client, par exemple:

 $http({
        url: 'url of service',
        method: "POST",
        data: {test :  name },
        withCredentials: true,
        headers: {
                    'Content-Type': 'application/json; charset=utf-8'
        }
    });

Et et côté serveur, vous devez mettre des en-têtes à cet exemple pour nodejs:

/**
 * On all requests add headers
 */
app.all('*', function(req, res,next) {


    /**
     * Response settings
     * @type {Object}
     */
    var responseSettings = {
        "AccessControlAllowOrigin": req.headers.origin,
        "AccessControlAllowHeaders": "Content-Type,X-CSRF-Token, X-Requested-With, Accept, Accept-Version, Content-Length, Content-MD5,  Date, X-Api-Version, X-File-Name",
        "AccessControlAllowMethods": "POST, GET, PUT, DELETE, OPTIONS",
        "AccessControlAllowCredentials": true
    };

    /**
     * Headers
     */
    res.header("Access-Control-Allow-Credentials", responseSettings.AccessControlAllowCredentials);
    res.header("Access-Control-Allow-Origin",  responseSettings.AccessControlAllowOrigin);
    res.header("Access-Control-Allow-Headers", (req.headers['access-control-request-headers']) ? req.headers['access-control-request-headers'] : "x-requested-with");
    res.header("Access-Control-Allow-Methods", (req.headers['access-control-request-method']) ? req.headers['access-control-request-method'] : responseSettings.AccessControlAllowMethods);

    if ('OPTIONS' == req.method) {
        res.send(200);
    }
    else {
        next();
    }


});

Answer 8

avec CORS en général, le serveur doit-il autoriser tous les en- têtes (Content, Content-Length, Referer, etc ...) présents dans la requête réelle, c'est-à-dire non-OPTIONS?

Kevin Meredith

Answer 9

@KevinMeredith Non, vous n'êtes pas obligé d'autoriser tous les en-têtes, vous ne pouvez autoriser que ce dont vous avez besoin et vous pouvez même limiter également à un domaine.

igorzg

Answer 10

1

comment savoir ce dont j'ai besoin?

Kevin Meredith

Answer 11

Merci pour votre gentille réponse :)

Kamruzzaman

Answer 12

1

Je suis confus, pourquoi n'ai-je pas besoin de m'authentifier auprès du point de terminaison s'il est sécurisé par une authentification de base http?

Maxim Zubarev

Answer 13

Pour faire une requête CORS, il faut ajouter des en-têtes à la requête ainsi que ceux dont il a besoin pour vérifier si mode_header est activé dans Apache.

Pour activer les en-têtes dans Ubuntu:

sudo a2enmod headers

Pour que le serveur php accepte les demandes provenant de différentes origines, utilisez:

Header set Access-Control-Allow-Origin *
Header set Access-Control-Allow-Methods "GET, POST, PUT, DELETE"
Header always set Access-Control-Allow-Headers "x-requested-with, Content-Type, origin, authorization, accept, client-security-token"

Authentification AngularJS $ http, CORS et http

Réponses: