Spring boot + angular, jak to zrobić dobrze

Hej,

Ciężko mi znaleźć dokładną odpowiedź na moje pytanie w internecie (lub źle szukam). Chciałbym zbudować apkę na spring-boot + angular + mobilka w przyszłości. Ostatnio mnie denerwowała jedna rzecz robiąc rest api + angular, że jeżeli użytkownik chciałby, to mógłby się dostać do widoku panelu admina (requesty zabezpieczone). Stąd moje pytanie, czy dobrym pomysłem jest budowanie front'a w resources na backendzie i przy każdym requeście otrzymuję dopiero kod html? Jak potem sprawa wyglądałaby z aplikacją mobilną? Czy da się może jakoś zabezpieczyć widok admina w inny sposób (załóżmy front w angularze, a panel admina w resources na serwerze)?

Możliwe że coś źle rozumiem.

Pozdrawiam :D

Ostatnio mnie denerwowała jedna rzecz robiąc rest api + angular, że jeżeli użytkownik chciałby, to mógłby się dostać do widoku panelu admina (requesty zabezpieczone).

Co takiego? Jak użytkownik ma się dostać do zabezpieczonego zasobu?

Możliwe że coś źle rozumiem.
Mieszasz do tego stopnia, że ciężko połapać się o co chodzi, ale jedno jest pewne - źle coś zrozumiałeś ;)

Jeżeli posiadam front w angularze, który działa jako osobna aplikacja i na niej zbudowany jest panel admina, to jeżeli dobrze rozumiem zwykły użytkownik znający się na kodzie ma możliwość wejścia do panelu admina (jak ktoś się nie zna to routami to zabezpieczę). Oczywiście zobaczy tylko jego widok, w przypadku próby np. usunięcia użytkownika, otrzyma 403 że nie jest zautoryzowanym użytkownikiem. Chodzi o sam fakt możliwości podglądnięcia panelu.

Dlatego pytam czy dobrym pomysłem (i czy to tak będzie działać) jest zrobienie panelu administratora po stronie serwera, gdzie serwer udostępni kod html, czy np. cały front umieścić po stronie serwera, tylko jak wtedy miałoby to działać z osobną apką na telefony. Czy robi się to zupełnie inaczej?

Nawet jeśli ktoś nieuprawniony wejdzie, to nie powinien dostać danych z API, a co dopiero ich modyfikować. Natomiast build z Angular to przecież w większość skrypt, nie HTML, więc możesz doładowywać moduły Angulara z serwera i bawić się w sprawdzanie na serwerze czy ktoś ma uprawnienia do nich, ale czy naprawdę warto? Guard na froncie nie wystarczy? Ewentualnie możesz zainteresować się server-renderingiem. Częściej jednak spotykałem się z tym, że takie panele admina były oddzielnymi aplikacjami w Angularze.

Wydaje mi się, że nie rozumiesz jak działają zabezpieczenia i jak powinna wyglądać poprawnie zbudowana aplikacja w formie java(spring) + angular.
Jeśli użytkownik bez odpowiednich uprawnień będzie próbował dostać się do panelu admina to powinien zobaczyć stronę w stylu brak uprawnień, albo nie ma takiej 'strony'.

brus97 napisał(a):

Jeżeli posiadam front w angularze, który działa jako osobna aplikacja i na niej zbudowany jest panel admina, to jeżeli dobrze rozumiem zwykły użytkownik znający się na kodzie ma możliwość wejścia do panelu admina (jak ktoś się nie zna to routami to zabezpieczę).

Ale, że jak? Podczas próby wejścia, nawet jak dany użytkownik zna adres do podstrony, której nie powinien widzieć, to powinien lecieć request do servera sprawdzający uprawnienia.
W jaki sposób miałby się dostać do tego panelu?

Wspomniałeś też o trzymaniu części z frontu po tej samej stronie co backend. Nie nie nie. Oddzielnie deployujesz back, oddzielnie front. Jeśli będziesz chciał dokonać zmian na froncie to deployujesz tylko aplikację angularową, po co mieszasz w to Twoje API?

Dzięki czemu to API możesz użyć potem min do tworzenia apki mobilnej.

@kixe52:

Bardzo możliwe że nie rozumiem do końca, dopiero poznaję angulara i JWT. W angularze mam moduł app-routing.module.ts, który ma path z komponentami, a każdy path ma guardy jak:
" canActivate: [AdminService],
data: { roles: [Role.Admin]}"

W AdminService, załóżmy że wysyłam request'a z potwierdzeniem autoryzacji do panelu admina i dostaję odpowiedź tak albo nie.

W takim razie pytanie jest takie, czy jest możliwość z poziomu konsoli/jakiegoś programu zmodyfikowania kodu, aby dostać się do tego widoku admina bez requesta? Zawsze mi się wydawało że mimo wszystko jest taka możliwość i jak ktoś bardzo chce to zobaczy jego widok.

Wspomniałeś też o trzymaniu części z frontu po tej samej stronie co backend. Nie nie nie. Oddzielnie deployujesz back, oddzielnie front. Jeśli będziesz chciał dokonać zmian na froncie to deployujesz tylko aplikację angularową, po co mieszasz w to Twoje API?

Bardziej myślałem o panelu admina niż całym froncie.

1. Powinieneś "zawsze" zakładać, że potencjalny atakujący zna cały kod aplikacji
2. Sprawdzasz dostęp po stronie serwera, po stronie klienta sprawdzanie to tylko ergonomia, a nie security
3. Front to powinna byś osobna aplikacja - o której spring niejako nie powinien nic wiedzieć (wygodniej, fajniej i lepiej). Osobny projekt. Osobne pliki. angular-cli Ci wszystko zrobi.
4. Widok admina można zrobić jako osobną aplikację, ale nie trzeba - to raczej kwestia ergonomii pisania i używanie niż bezpieczeństwa. Przy rozdzieleniu potencjalnie masz dużo powtórzeń w kodzie, albo bawisz się w jakieś dodatakowe moduły z wspólnym kodem. Jakkolwiek, jeśli aplikacje są zrobione w całkiem innym stylu (fancy gui vs power user gui) - to może się okazać, że rozdzielenie kodu jest wygodniejsze.
5. Jesli myslisz o zrobieniu w przysżłości mobilki to przećwicz sobie IONIC - to taki angular(albo vue) opakowany, żeby robić z tego mobilną aplikację - raczej nadaje się do mobile first (czyli robisz mobilną aplikację w angularze, a strona web to trochę "pochodna" tej mobilnej). Sensowność IONICa zależy od tego co chcesz zrobić (raczej nadaje się pod aplikacje "formularzowe" niż gierki), ale tam gdzie się nadaje, potrafi mocno ułatwić życie.