Authentification AngularJS $ http, CORS et http


88

Parce que l'utilisation de l'authentification CORS et http avec AngularJS peut être délicate, j'ai modifié la question pour partager une leçon apprise. Je tiens d'abord à remercier igorzg. Sa réponse m'a beaucoup aidé. Le scénario est le suivant: Vous souhaitez envoyer une requête POST à ​​un domaine différent avec le service AngularJS $ http. Il y a plusieurs choses délicates à prendre en compte lors de l'obtention d'AngularJS et de la configuration du serveur.

Premièrement: dans la configuration de votre application, vous devez autoriser les appels interdomaines

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  gonaumov@gmail.com for contacts and 
 *  suggestions. 
 **/ 
app.config(function($httpProvider) {
    //Enable cross domain calls
    $httpProvider.defaults.useXDomain = true;
});

Deuxièmement: vous devez spécifier withCredentials: true et nom d'utilisateur et mot de passe dans la demande.

 /**
  *  Cors usage example. 
  *  @author Georgi Naumov
  *  gonaumov@gmail.com for contacts and 
  *  suggestions. 
  **/ 
   $http({
        url: 'url of remote service',
        method: "POST",
        data: JSON.stringify(requestData),
        withCredentials: true,
        headers: {
            'Authorization': 'Basic bashe64usename:password'
        }
    });

Тhird: configuration du serveur. Vous devez fournir:

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  gonaumov@gmail.com for contacts and 
 *  suggestions. 
 **/ 
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://url.com:8080");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization");

Pour chaque demande. Lorsque vous recevez OPTION, vous devez réussir:

/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  gonaumov@gmail.com for contacts and 
 *  suggestions. 
 **/ 
if($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
   header( "HTTP/1.1 200 OK" );
   exit();
}

L'authentification HTTP et tout le reste viennent après cela.

Voici un exemple complet d'utilisation du côté serveur avec php.

<?php
/**
 *  Cors usage example. 
 *  @author Georgi Naumov
 *  gonaumov@gmail.com for contacts and 
 *  suggestions. 
 **/ 
header("Access-Control-Allow-Credentials: true");
header("Access-Control-Allow-Origin: http://url:8080");
header("Access-Control-Allow-Methods: GET, POST, PUT, DELETE, OPTIONS");
header("Access-Control-Allow-Headers: Origin, X-Requested-With, Content-Type, Accept, Authorization");

if($_SERVER['REQUEST_METHOD'] == 'OPTIONS') {
   header( "HTTP/1.1 200 OK" );
   exit();
}


$realm = 'Restricted area';

$password = 'somepassword';

$users = array('someusername' => $password);


if (isset($_SERVER['PHP_AUTH_USER']) == false ||  isset($_SERVER['PHP_AUTH_PW']) == false) {
    header('WWW-Authenticate: Basic realm="My Realm"');

    die('Not authorised');
}

if (isset($users[$_SERVER['PHP_AUTH_USER']]) && $users[$_SERVER['PHP_AUTH_USER']] == $password) 
{
    header( "HTTP/1.1 200 OK" );
    echo 'You are logged in!' ;
    exit();
}
?>

Il y a un article sur mon blog sur ce problème qui peut être vu ici .


La question est éditée.
Georgi Naumov

2
Je suis un peu confus, c'est angularjs mais vous l'avez enveloppé dans des balises PHP .... ai-je raté quelque chose?
onaclov2000

Ceci n'est qu'un exemple de logique côté serveur. Le texte ci-dessous "Тhird: Configuration du serveur" est une logique côté serveur.
Georgi Naumov

@ onaclov2000 AngularJS est pour le côté client. Cela peut parler à n'importe quel serveur, PHP, Ruby, Perl, Python, Java, JavaScript ... Je pourrais continuer ..
Eric Hodonsky

1
Est-ce une question? C'est plutôt une bonne réponse :)
Mohammad Kermani

Réponses:


43

Non, vous n'êtes pas obligé de mettre des informations d'identification, vous devez mettre les en-têtes côté client, par exemple:

 $http({
        url: 'url of service',
        method: "POST",
        data: {test :  name },
        withCredentials: true,
        headers: {
                    'Content-Type': 'application/json; charset=utf-8'
        }
    });

Et et côté serveur, vous devez mettre des en-têtes à cet exemple pour nodejs:

/**
 * On all requests add headers
 */
app.all('*', function(req, res,next) {


    /**
     * Response settings
     * @type {Object}
     */
    var responseSettings = {
        "AccessControlAllowOrigin": req.headers.origin,
        "AccessControlAllowHeaders": "Content-Type,X-CSRF-Token, X-Requested-With, Accept, Accept-Version, Content-Length, Content-MD5,  Date, X-Api-Version, X-File-Name",
        "AccessControlAllowMethods": "POST, GET, PUT, DELETE, OPTIONS",
        "AccessControlAllowCredentials": true
    };

    /**
     * Headers
     */
    res.header("Access-Control-Allow-Credentials", responseSettings.AccessControlAllowCredentials);
    res.header("Access-Control-Allow-Origin",  responseSettings.AccessControlAllowOrigin);
    res.header("Access-Control-Allow-Headers", (req.headers['access-control-request-headers']) ? req.headers['access-control-request-headers'] : "x-requested-with");
    res.header("Access-Control-Allow-Methods", (req.headers['access-control-request-method']) ? req.headers['access-control-request-method'] : responseSettings.AccessControlAllowMethods);

    if ('OPTIONS' == req.method) {
        res.send(200);
    }
    else {
        next();
    }


});

avec CORS en général, le serveur doit-il autoriser tous les en- têtes (Content, Content-Length, Referer, etc ...) présents dans la requête réelle, c'est-à-dire non-OPTIONS?
Kevin Meredith

@KevinMeredith Non, vous n'êtes pas obligé d'autoriser tous les en-têtes, vous ne pouvez autoriser que ce dont vous avez besoin et vous pouvez même limiter également à un domaine.
igorzg

1
comment savoir ce dont j'ai besoin?
Kevin Meredith

Merci pour votre gentille réponse :)
Kamruzzaman

1
Je suis confus, pourquoi n'ai-je pas besoin de m'authentifier auprès du point de terminaison s'il est sécurisé par une authentification de base http?
Maxim Zubarev

3

Pour faire une requête CORS, il faut ajouter des en-têtes à la requête ainsi que ceux dont il a besoin pour vérifier si mode_header est activé dans Apache.

Pour activer les en-têtes dans Ubuntu:

sudo a2enmod headers

Pour que le serveur php accepte les demandes provenant de différentes origines, utilisez:

Header set Access-Control-Allow-Origin *
Header set Access-Control-Allow-Methods "GET, POST, PUT, DELETE"
Header always set Access-Control-Allow-Headers "x-requested-with, Content-Type, origin, authorization, accept, client-security-token"
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.