単一ページのアプリケーションへのログインページを別のページにするのはなぜですか？

SPAのログインページをSPAのページではない別のページにするのが一般的であるように思えるのはなぜですか？

私が考えることができるのはセキュリティだけですが、特定のセキュリティの理由を考えることはできません。ログインページがSPAの一部である場合、FirebugやWebインスペクターなどのツールで見ることができるajaxを介してユーザー名/パスワードを送信しますが、通常として送信してもPOSTリクエスト。このデータを簡単にキャプチャできる他のツール（フィドラー、httpscoopなど）があります。

何か足りないものはありますか？

おそらく、アプリケーションでのみ必要とされるクライアント側のアセット（重いJavaScriptフレームワーク、画像など）のロードを節約することでしょう。

同様のパフォーマンス目標を達成するためのより洗練された手段があります（「Malte Ubl＆John Hjelmstad：JavaScriptローディングへの斬新で効率的なアプローチ-JSConf EU 2012」を参照）。とにかく、Webアプリはほとんどすべてのアセットを使用します。

これは、http：//infogr.amベータのようなサイトで実際に見ることができます。

1. http://infogr.am/login/は jquery、 raphael、カスタムjsおよび3つのcssファイルをロードします。
2. http://infogr.am/beta/（アプリケーションのメインSPIページ）は、10個のjavascriptフレームワーク、5個の外部cssファイル、および約60個の画像をロードします。

賛成または反対の合理的な議論があると思いますが、決定にもテクノロジーが役割を果たしていると思います。

別のログイン「ページ」を使用すると、「ディレクトリセキュリティ」の使用が可能になると主張できます。通常、ログイン「ページ」は誰でも見ることができますが、認証されたユーザーのみがアプリケーションの「ページ」とその「ディレクトリ」を見ることができます。ルートはロックダウンすることもできます。/Account/は/ App /とは異なり、それぞれに独自のセキュリティ「プロファイル」があります。

また、SPAアプローチを使用していて、認証とアプリケーションエクスペリエンスを混在させている場合、ロジックが複雑になる可能性があります。ユーザーが「ここにいるのでログインしている」と仮定する代わりに、認証ステータスを常に確認し、「このユーザーはここにいるべきか」と尋ねる必要があります。

また、ログインページは通常、消費者向けサイトにあります。www.yourapp.comにアクセスすると、情報、連絡先、サポートなどに関する情報が表示されます。認証では、ターゲットのホスト全体にリダイレクトできます。

別のログインページを保持し、「消費者向け」サイト用にまったく異なるアプリを実際に持っている理由は、認証されていないユーザーにはほとんど公開できないためです。偶然、ログインページでバカがバカになり始めますが、アプリ側に影響を与えたくありません..ログインが単純な認証ルックアップのみを実行している場合でも、bozoが私の影響を受けないようにするのに役立ちますユーザーエクスペリエンス..最悪の場合、私のコンシューマサイトはダウンし、誰もログインできませんが、少なくともログインしているユーザーは知らず、ユーザーエクスペリエンスは遅くなりません。それが防弾チョイスだとは言いません。認証されていないエリアへのリスクを隔離しました。

これを行う理由の1つは、通常のCookieベースのセッションを使用できるためです。ユーザーがログインすると、応答が最初のメインページとともにCookieを送信し、その後のすべてのAjax呼び出しがCookieをサーバーに送り返します。

これにはいくつかの理由があります。

1. web.xmlで通常のパスベースのアクセス制御ルールを使用できます。
2. Ajaxアプリケーション全体が適切に保護されているとは確信できません。自信をつけるために広範なテストを行う必要があります。
3. 認証をフレームワーク（Spring Securityなど）、サードパーティアプリケーション、またはSSOソリューション（CASやJOSSOなど）に委任できます。
4. ブラウザにユーザーのユーザー名と（オプションで）パスワードをキャッシュさせることができます。