如何使用角度cors和nodejs隐藏登录名和密码

Posted 2021-04-19

早上好，我需要一些帮助。

我正在开发一个应用程序来研究并尝试将来在公司中应用。我已经在iis上运行我的后端（nodejs api rest）并且我正在以角度4创建我的Web应用程序。问题是我正在进行我的身份验证屏幕，如果我使用wireshark之​​类的工具，我可以捕获登录名和密码。

我怎么能隐藏这个？

login(login: string, senha: string): Observable<User> {
   const headers = new HttpHeaders();

   headers
     .append('Content-Type', 'application/x-www-form-urlencoded')
     .append('Accept', 'q=0.8;application/json;q=0.9');

   return this.http
              .post<User>(`${BASE_URL}/sign-in`, { username: login, password: senha }, {headers: headers, withCredentials: true})
              .do(user => (this.user = user));
}

如何使wireshark不显示用户和密码wireshark

答案

问题是我正在进行身份验证屏幕，如果我使用wireshark之​​类的工具，我可以捕获登录名和密码。

为避免这种情况，您希望使用HTTPS加密流量。这实际上是一个后端/操作问题，与Angular无关。

首先你需要一个证书。出于测试目的，这可以是您自己创建的自签名证书（例如with OpenSSL）。然后你必须正确设置你的后端（例如使用Express，普通NodeJS或IIS）。

如果必要，您必须应用于Angular代码的唯一更改是将s添加到硬编码的URL（从http://example.com到https://example.com）。