Ember.js একটি শক্তিশালী এবং স্কেলেবল JavaScript ফ্রেমওয়ার্ক, তবে যেকোনো ওয়েব অ্যাপ্লিকেশন তৈরির সময় সিকিউরিটি অত্যন্ত গুরুত্বপূর্ণ। Ember.js অ্যাপ্লিকেশনগুলিতে সিকিউরিটি ব্যবস্থাপনা সাধারণত নিরাপদ ডেটা ট্রান্সফার, অথেন্টিকেশন, অথরাইজেশন, ক্রস সাইট স্ক্রিপটিং (XSS), ক্রস সাইট রিকোয়েস্ট ফর্জারি (CSRF), ইনপুট ভ্যালিডেশন এবং অন্যান্য নিরাপত্তা দুর্বলতা দূর করতে ফোকাস করে।
এমবারজেএসের সিকিউরিটি ব্যবস্থাপনা মূলত অ্যাপ্লিকেশনের সঠিক কনফিগারেশন এবং সঠিক সিকিউরিটি পদ্ধতি ব্যবহারের মাধ্যমে কার্যকরী হয়।
এখানে Ember.js এর সিকিউরিটি ব্যবস্থাপনা সম্পর্কে বিস্তারিত আলোচনা করা হলো:
১. Authentication (অথেন্টিকেশন)
অথেন্টিকেশন হল একটি প্রক্রিয়া যার মাধ্যমে একটি ব্যবহারকারীর পরিচয় যাচাই করা হয়। Ember.js অ্যাপ্লিকেশনগুলিতে সাধারণত OAuth, JWT (JSON Web Token), অথবা Session-Based Authentication ব্যবহৃত হয়।
১.১ Session-Based Authentication
এটি একটি সাধারণ অথেন্টিকেশন মেকানিজম যেখানে সার্ভার একটি সেশন আইডি তৈরি করে এবং ক্লায়েন্ট সেই সেশন আইডি ব্যবহার করে সার্ভারে লগইন স্টেট ট্র্যাক করে। Ember.js-এ ember-simple-auth অ্যাডনটি এই ধরনের অথেন্টিকেশন সিস্টেমের জন্য ব্যবহার করা হয়।
ember install ember-simple-auth
এটি আপনার অ্যাপ্লিকেশনে অথেন্টিকেশন এবং অথরাইজেশনের জন্য সহজ এবং কার্যকর উপায় সরবরাহ করে।
১.২ JWT (JSON Web Token)
JWT আধুনিক ওয়েব অ্যাপ্লিকেশনে ব্যবহৃত একটি নিরাপদ অথেন্টিকেশন পদ্ধতি। এটি একটি এনক্রিপ্টেড টোকেন ব্যবহার করে ব্যবহারকারীর পরিচয় যাচাই করে এবং সেটি ব্যবহারের মাধ্যমে নিরাপদ ডেটা ট্রান্সফার নিশ্চিত করে।
Ember.js-এ JWT অথেন্টিকেশন ব্যবহারের জন্য ember-simple-auth-token অ্যাডন ব্যবহার করা যায়:
ember install ember-simple-auth-token
এটি API থেকে টোকেন সংগ্রহ, সেটি সংরক্ষণ এবং subsequent রিকোয়েস্টে ব্যবহার করতে সাহায্য করবে।
২. Authorization (অথরাইজেশন)
অথরাইজেশন হল এমন একটি প্রক্রিয়া যা নির্ধারণ করে, ব্যবহারকারী নির্দিষ্ট রিসোর্স বা অ্যাপ্লিকেশনের কোনো ফিচারে অ্যাক্সেস পাবে কিনা। Ember.js-এ অথরাইজেশন সঠিকভাবে বাস্তবায়নের জন্য কিছু কৌশল রয়েছে:
২.১ Route Authorization
Ember.js-এ রাউটের মধ্যে অ্যাক্সেস কন্ট্রোল করা যায়। আপনি ব্যবহারকারীর অথেন্টিকেশন স্টেট চেক করে একটি রাউটের অ্যাক্সেস সীমাবদ্ধ করতে পারেন।
// app/routes/application.js
import Route from '@ember/routing/route';
import { inject as service } from '@ember/service';
export default class ApplicationRoute extends Route {
@service session;
beforeModel(transition) {
if (!this.session.isAuthenticated) {
this.transitionTo('login'); // লগইন না থাকলে লগইন রাউটে রিডিরেক্ট
}
}
}
এখানে, beforeModel() হুক ব্যবহার করে রাউট লোড হওয়ার আগেই ব্যবহারকারীর অথেন্টিকেশন চেক করা হচ্ছে। যদি ব্যবহারকারী অথেন্টিকেটেড না থাকে, তবে তাকে login রাউটে রিডিরেক্ট করা হবে।
৩. Cross-Site Scripting (XSS) এবং Cross-Site Request Forgery (CSRF)
XSS এবং CSRF হল ওয়েব অ্যাপ্লিকেশন সিকিউরিটির প্রধান ঝুঁকি। Ember.js ফ্রেমওয়ার্কের মধ্যে ডিফল্টভাবে নিরাপত্তা ব্যবস্থা থাকে যা XSS এবং CSRF আক্রমণ থেকে অ্যাপ্লিকেশনকে রক্ষা করে।
৩.১ Cross-Site Scripting (XSS)
XSS হল এমন একটি আক্রমণ যেখানে আক্রমণকারী স্ক্রিপ্ট ইনজেক্ট করে যা ব্রাউজারের মাধ্যমে রান হয়। Ember.js দ্বারা তৈরি টেমপ্লেটগুলি HTMLBars ইঞ্জিন ব্যবহার করে, যা অটোমেটিকালি XSS আক্রমণ প্রতিরোধ করে।
Ember.js HTMLBars টেমপ্লেট ইঞ্জিন ব্যবহার করে auto-escaping বৈশিষ্ট্য প্রয়োগ করে, অর্থাৎ ইউজার ইনপুট বা আক্রমণকারীর স্ক্রিপ্ট কোড অটোমেটিকালি escape হয়ে যায় এবং HTML হিসেবে রেন্ডার হয় না।
<!-- Safe Rendering -->
<p>{{userInput}}</p>
এখানে {{userInput}} যদি কোনো স্ক্রিপ্ট কোড ধারণ করে থাকে, তবে এটি নিরাপদভাবে রেন্ডার হবে এবং স্ক্রিপ্ট কোড হিসেবে কার্যকর হবে না।
৩.২ Cross-Site Request Forgery (CSRF)
CSRF আক্রমণ হল এমন একটি আক্রমণ যেখানে আক্রমণকারী, অথেন্টিকেটেড ব্যবহারকারীর পক্ষে কোনো অনুরোধ সম্পন্ন করে। Ember.js-এ CSRF থেকে সুরক্ষা পেতে CSRF tokens ব্যবহার করা হয়, যা সাধারণত session cookies মাধ্যমে পাঠানো হয়।
Ember.js-এ ember-simple-auth বা ember-cli-mirage অ্যাডন ব্যবহার করে CSRF tokens সহ ডেটা সুরক্ষা সহজ করা যায়। এই tokens ব্যবহারকারীর HTTP রিকোয়েস্টের অংশ হিসেবে যুক্ত থাকে, যা সার্ভার তার ব্যবহারকারীর পরিচয় যাচাই করার জন্য ব্যবহার করে।
৪. Secure Data Storage
Ember.js অ্যাপ্লিকেশনে নিরাপদ ডেটা সংরক্ষণের জন্য কিছু কৌশল রয়েছে, যেমন:
- LocalStorage বা SessionStorage ব্যবহারের ক্ষেত্রে ডেটা এনক্রিপশন এবং নিরাপত্তা নিশ্চিত করা।
- Cookies-এ নিরাপদ তথ্য সংরক্ষণ করার জন্য নিরাপদ কুকি সেটিংস (যেমন
HttpOnly,Secure,SameSite) ব্যবহার করা।
৪.১ Cookies ব্যবহার করা
Ember.js-এ cookies ব্যবহারের ক্ষেত্রে, আপনি HttpOnly, Secure, এবং SameSite এর মতো নিরাপদ কুকি প্যারামিটার ব্যবহার করতে পারেন।
document.cookie = "sessionId=abc123; Secure; SameSite=Strict; HttpOnly";
এটি HttpOnly প্যারামিটার ব্যবহার করে, যাতে কুকি JavaScript দ্বারা অ্যাক্সেস করা না যায়, এবং Secure প্যারামিটার ব্যবহার করে কুকি শুধুমাত্র HTTPS সংযোগের মাধ্যমে পাঠানো হয়।
৫. Content Security Policy (CSP)
Content Security Policy (CSP) হল একটি নিরাপত্তা ফিচার যা XSS আক্রমণ প্রতিরোধে সাহায্য করে। CSP নির্দিষ্ট করে কোন উত্স থেকে স্ক্রিপ্ট বা স্টাইল শীট লোড করা যাবে। Ember.js অ্যাপ্লিকেশনগুলোতে CSP কনফিগারেশন করা যেতে পারে, যা কনটেন্টের নিরাপত্তা নিশ্চিত করে।
<!-- app/index.html -->
<meta http-equiv="Content-Security-Policy" content="default-src 'self'; script-src 'self' https://apis.example.com;">
এটি সমস্ত স্ক্রিপ্ট লোড করার জন্য শুধুমাত্র https://apis.example.com কে অনুমোদন করবে, অন্য কোনও স্ক্রিপ্ট অনুমোদন করা হবে না।
Ember.js এর সিকিউরিটি ব্যবস্থাপনা অ্যাপ্লিকেশনের নিরাপত্তা নিশ্চিত করতে একটি অত্যন্ত গুরুত্বপূর্ণ অংশ। Authentication এবং Authorization ব্যবস্থাপনা, XSS এবং CSRF প্রতিরোধ, secure data storage এবং CSP কনফিগারেশনসহ বিভিন্ন সিকিউরিটি পদ্ধতির মাধ্যমে Ember.js অ্যাপ্লিকেশনগুলিকে সুরক্ষিত রাখা যায়। এই নিরাপত্তা ব্যবস্থাগুলির মাধ্যমে আপনি আপনার Ember.js অ্যাপ্লিকেশনকে শক্তিশালী এবং নিরাপদ রাখতে পারবেন।
Ember.js, একটি আধুনিক ফ্রেমওয়ার্ক, যা নিরাপদ এবং স্কেলযোগ্য ওয়েব অ্যাপ্লিকেশন তৈরি করতে সহায়ক। তবে, নিরাপত্তা শুধুমাত্র ফ্রেমওয়ার্কে নির্ভরশীল নয়; ডেভেলপারদের কিছু সিকিউরিটি বেস্ট প্র্যাকটিস অনুসরণ করতে হয় যাতে অ্যাপ্লিকেশনটি নিরাপদ থাকে। এই গাইডে আমরা Ember.js অ্যাপ্লিকেশনের সিকিউরিটি বেস্ট প্র্যাকটিস নিয়ে আলোচনা করব।
১. Authentication এবং Authorization
Authentication এবং Authorization অ্যাপ্লিকেশনের সিকিউরিটি নিশ্চিত করতে অন্যতম গুরুত্বপূর্ণ। Ember Simple Auth বা অন্য কোনো সিকিউরিটি addon ব্যবহার করা যেতে পারে যা OAuth, JWT (JSON Web Tokens), এবং session management প্রদান করে।
Ember Simple Auth ব্যবহার করুন
Ember Simple Auth একটি শক্তিশালী এবং সহজ টুল যা Ember অ্যাপ্লিকেশনে authentication এবং authorization সিস্টেম যোগ করতে সহায়ক।
- JWT (JSON Web Tokens) অথবা OAuth2 ব্যবহার করে নিরাপদ লগইন প্রক্রিয়া তৈরি করুন।
- Token Storage: সিকিউরিটি নিশ্চিত করতে টোকেনগুলো sessionStorage বা localStorage তে না রেখে, কেবলমাত্র সেশন তে সংরক্ষণ করুন।
// app/services/session.js
import Service from '@ember/service';
import { tracked } from '@glimmer/tracking';
export default class SessionService extends Service {
@tracked isAuthenticated = false;
login(credentials) {
// token authentication
this.isAuthenticated = true;
}
logout() {
this.isAuthenticated = false;
}
}
২. XSS (Cross-Site Scripting) থেকে রক্ষা
Cross-Site Scripting (XSS) আক্রমণ একটি সাধারণ সিকিউরিটি সমস্যা যেখানে আক্রমণকারী ক্ষতিকর জাভাস্ক্রিপ্ট কোড ইনপুটের মাধ্যমে অ্যাপ্লিকেশন সিকিউরিটি ভঙ্গ করতে পারে।
HTML Sanitization
Ember.js এর টেমপ্লেট ইঞ্জিন HTMLBars যেটি auto-escaping সাপোর্ট করে, অর্থাৎ আপনি যদি কোনো ডাটা {{}} ব্রেসিং সিঙ্কট্যাক্সে ব্যবহার করেন, তা স্বয়ংক্রিয়ভাবে escape হয়ে যাবে।
<!-- Safe HTML rendering -->
<p>{{this.sensitiveData}}</p>
এখানে, {{this.sensitiveData}} ভ্যালু auto-escaped হবে, এবং আক্রমণকারী HTML ইনপুট দিয়ে XSS আক্রমণ চালাতে পারবে না।
Unsafe HTML rendering
যদি আপনি অপ্রত্যাশিত বা অচেনা HTML রেন্ডার করতে চান, তবে সতর্কতা অবলম্বন করুন এবং sanitize করুন:
// Use sanitize library to prevent XSS attacks
import { sanitize } from 'sanitize-html';
৩. CSRF (Cross-Site Request Forgery) প্রতিরোধ
CSRF আক্রমণে আক্রমণকারী একটি ইউজারের বংশগত সেশন ব্যবহারের মাধ্যমে তাদের আক্রমণ করতে পারে। Ember.js অ্যাপ্লিকেশনের সিকিউরিটির জন্য, CSRF থেকে রক্ষা করার জন্য টোকেন ব্যবহৃত হয়।
CSRF Token Management
আপনার Ember অ্যাপ্লিকেশন যখন কোনও API কল করে, তখন CSRF টোকেন পাঠানো প্রয়োজন, বিশেষ করে যখন আপনি ব্যবহারকারীর সেশন বা প্রমাণীকরণের জন্য কুকি ব্যবহার করছেন। নিশ্চিত করুন যে আপনি CSRF টোকেনটি প্রতিটি রিকোয়েস্টের সাথে অন্তর্ভুক্ত করেছেন।
- Server Side: আপনার API এ CSRF tokens যাচাই করুন এবং cookie-based session management এর সাথে token validation রাখুন।
// Ember Service - Send CSRF token with requests
import Service from '@ember/service';
import { inject as service } from '@ember/service';
export default class ApiService extends Service {
@service session;
async request(url, options = {}) {
const csrfToken = this.session.csrfToken;
const headers = {
'Content-Type': 'application/json',
'X-CSRF-Token': csrfToken, // Attach CSRF token
...options.headers
};
return fetch(url, { ...options, headers });
}
}
৪. Secure Data Transmission (HTTPS)
HTTPS (HyperText Transfer Protocol Secure) একটি নিরাপদ যোগাযোগ প্রটোকল যা ডেটা এনক্রিপশন নিশ্চিত করে। নিশ্চিত করুন যে আপনার অ্যাপ্লিকেশন শুধুমাত্র HTTPS প্রোটোকল ব্যবহার করে যোগাযোগ করে, যাতে ম্যান ইন দ্য মিডল (MITM) আক্রমণ বা ডেটা ইন্টারসেপশন হতে না পারে।
- Force HTTPS: আপনার অ্যাপ্লিকেশন সার্ভারে HTTPS ইনস্টল এবং কনফিগার করুন।
- HSTS (HTTP Strict Transport Security): এটি ব্যবহারকারীর ব্রাউজারকে HTTPS যোগাযোগের জন্য বাধ্য করতে সহায়ক।
// Example to enable HSTS header in server config
Strict-Transport-Security: max-age=31536000; includeSubDomains;
৫. Access Control and Role Management
Authorization এর মাধ্যমে আপনি নিশ্চিত করতে পারেন যে একজন ব্যবহারকারী শুধুমাত্র অনুমোদিত রিসোর্স বা ডেটা অ্যাক্সেস করতে পারে। Ember.js-এ role-based access control (RBAC) এবং permissions ব্যবস্থাপনা করতে হবে।
Role-based Access Control (RBAC)
আপনি Ember Simple Auth বা অন্যান্য টোকেন ভিত্তিক অথেন্টিকেশন সিস্টেম ব্যবহার করে role-based access control ইমপ্লিমেন্ট করতে পারেন। এটি ব্যবহারকারীকে নির্দিষ্ট রিসোর্সে অ্যাক্সেস দেওয়ার সময় roles এবং permissions যাচাই করতে সহায়ক।
// app/routes/dashboard.js
import Route from '@ember/routing/route';
export default class DashboardRoute extends Route {
beforeModel() {
const userRole = this.session.userRole;
if (userRole !== 'admin') {
this.transitionTo('unauthorized');
}
}
}
এখানে, beforeModel() মেথড ব্যবহার করে, আমরা যাচাই করছি যে ব্যবহারকারী admin না হলে অ্যাক্সেস দেওয়া হবে না।
৬. Content Security Policy (CSP)
CSP হল একটি নিরাপত্তা বৈশিষ্ট্য যা ডেভেলপারদের সক্ষম করে, তাদের অ্যাপ্লিকেশনকে স্ক্রিপ্ট এবং রিসোর্সের জন্য নির্দিষ্ট উৎস (sources) থেকে কন্টেন্ট লোড করার অনুমতি দিতে। এতে cross-site scripting (XSS) আক্রমণ থেকে অ্যাপ্লিকেশনকে রক্ষা করা যায়।
CSP হেডার কনফিগারেশন
Content-Security-Policy: default-src 'self'; script-src 'self' https://trusted.cdn.com;
এটি কেবলমাত্র নির্দিষ্ট উৎস থেকে স্ক্রিপ্ট লোড করার অনুমতি দেয়।
৭. Logging and Error Handling
Sensitive data logging থেকে রক্ষা করতে হবে, বিশেষ করে যখন আপনি ব্যবহারকারীর ডেটা বা ত্রুটি লগ করেন। নিশ্চিত করুন যে error logging এবং stack traces সুরক্ষিতভাবে পরিচালিত হচ্ছে, বিশেষ করে প্রোডাকশন পরিবেশে।
Error Logging
- Error tracking সিস্টেম ব্যবহার করুন যেমন Sentry বা LogRocket, তবে ত্রুটির মধ্যে কোনো sensitive information না থাকার দিকে লক্ষ্য রাখুন।
Ember.js অ্যাপ্লিকেশন সিকিউরিটির জন্য অনেক গুরুত্বপূর্ণ প্র্যাকটিস রয়েছে যা আপনাকে নিরাপদ এবং স্কেলেবল অ্যাপ্লিকেশন তৈরি করতে সাহায্য করে। Authentication and Authorization, XSS Prevention, CSRF Protection, HTTPS, Role-based Access Control (RBAC) এবং CSP ইত্যাদি গুরুত্বপূর্ণ বিষয়গুলি নিরাপত্তা নিশ্চিত করতে সহায়ক। এই বেস্ট প্র্যাকটিসগুলি অনুসরণ করে, আপনি আপনার Ember অ্যাপ্লিকেশনকে আক্রমণ থেকে সুরক্ষিত রাখতে পারবেন এবং ব্যবহারকারীদের জন্য একটি নিরাপদ অভিজ্ঞতা প্রদান করতে পারবেন।
Ember.js একটি শক্তিশালী ফ্রন্ট-এন্ড ফ্রেমওয়ার্ক যা Authentication এবং CSRF Protection এর মতো নিরাপত্তা ব্যবস্থা যোগ করতে সহায়ক। যখন আপনি Ember.js দিয়ে একটি ওয়েব অ্যাপ্লিকেশন তৈরি করেন, তখন সাধারণত সাইডের নিরাপত্তা ব্যবস্থাগুলি (যেমন সেশন, লগইন) ব্যাকএন্ড সার্ভারের সাথে সংযুক্ত থাকে। তবে Ember.js ফ্রন্টএন্ডের জন্য কিছু সাধারণ নিরাপত্তা পদ্ধতি যেমন Cross-Site Request Forgery (CSRF) প্রতিরোধ এবং Authentication প্রক্রিয়া বাস্তবায়ন করা প্রয়োজন।
এখানে Ember.js-এ CSRF Protection এবং Authentication সেটআপের উপায় নিয়ে আলোচনা করা হবে।
1. CSRF Protection (Cross-Site Request Forgery)
CSRF (Cross-Site Request Forgery) হল একটি নিরাপত্তা আক্রমণ যা ওয়েব অ্যাপ্লিকেশনগুলির জন্য বিপজ্জনক হতে পারে। এটি তখন ঘটে যখন একটি ব্যবহারকারী তাদের অনুমতি ছাড়া অন্য একটি ওয়েবসাইট বা অ্যাপ্লিকেশন থেকে তাদের ব্রাউজারে অনুচিত রিকোয়েস্ট পাঠায়।
Ember.js-এ CSRF প্রতিরোধের জন্য সাধারণত token-based authentication ব্যবহার করা হয়। CSRF টোকেনটি একটি নিরাপদ রিকোয়েস্টের অংশ হিসাবে পাঠানো হয় এবং এটি নিশ্চিত করে যে রিকোয়েস্টটি প্রামাণিক এবং অননুমোদিত উৎস থেকে আসছে না।
CSRF Token পরিচালনা
- CSRF Token পাঠানো:
- Ember.js ক্লায়েন্ট সাইডে, আপনাকে HTTP রিকোয়েস্টের মধ্যে CSRF টোকেন পাঠাতে হবে। সাধারণত, এই টোকেনটি ব্যাকএন্ড থেকে একটি cookie হিসেবে ফেরত আসে, যা পরে প্রতিটি রিকোয়েস্টের মধ্যে Authorization header হিসাবে সংযুক্ত করতে হয়।
CSRF টোকেন ইনজেক্ট করা:
Ember.js-এ CSRF টোকেন ব্যবহারের জন্য আপনি Ember Data বা jQuery এর মাধ্যমে এই টোকেন পাঠাতে পারেন।
উদাহরণ: CSRF Token পাঠানো
ধরা যাক, ব্যাকএন্ড সার্ভার X-CSRF-Token নামক একটি টোকেন ফেরত পাঠায়, যা প্রতি API রিকোয়েস্টের সাথে অন্তর্ভুক্ত করতে হবে।
// app/services/csrf.js
import Service from '@ember/service';
import { inject as service } from '@ember/service';
export default class CsrfService extends Service {
@service ajax; // ember-ajax সার্ভিস
// CSRF টোকেন সেট করা
get csrfToken() {
return document.querySelector('meta[name="csrf-token"]').getAttribute('content');
}
// CSRF টোকেন হেডারে পাঠানো
setupRequest(request) {
const token = this.csrfToken;
if (token) {
request.setRequestHeader('X-CSRF-Token', token); // CSRF টোকেন পাঠানো
}
}
}
এখানে, csrfToken ফাংশনটি meta ট্যাগ থেকে CSRF টোকেন গ্রহণ করে এবং setupRequest ফাংশনটি সেটি প্রতিটি API রিকোয়েস্টের হেডারে যোগ করে।
2. Authentication in Ember.js
Authentication (অথেনটিকেশন) হল একটি নিরাপত্তা প্রক্রিয়া যার মাধ্যমে নিশ্চিত করা হয় যে অ্যাপ্লিকেশনের ব্যবহারকারী বৈধ কিনা। Authentication সাধারণত টোকেন-ভিত্তিক পদ্ধতির মাধ্যমে পরিচালিত হয়, যেমন JWT (JSON Web Tokens), যেখানে ক্লায়েন্ট সাইডে একটি টোকেন স্টোর করা হয় এবং প্রতিটি রিকোয়েস্টের সাথে ব্যাকএন্ড সার্ভারে প্রমাণীকরণ করার জন্য পাঠানো হয়।
Authentication Setup
- Login Process: প্রথমে ব্যবহারকারী লগইন করতে হবে। সাধারণত, একটি username এবং password প্রদান করা হয়, এবং সফল হলে একটি token ফেরত আসে।
- Token Storage: সেশন বা স্থানীয় স্টোরেজে এই token সংরক্ষণ করা হয় এবং প্রতিটি API রিকোয়েস্টের জন্য এটি পাঠানো হয়।
Authentication Flow
- ব্যবহারকারী লগইন ফর্ম পূরণ করে।
- সার্ভার সার্ভারে লগইন তথ্য যাচাই করে এবং একটি JWT টোকেন প্রদান করে।
- ক্লায়েন্ট সাইডে JWT টোকেনটি সংরক্ষণ করা হয় এবং প্রতিটি API রিকোয়েস্টে এই টোকেনটি Authorization header-এ পাঠানো হয়।
Ember.js Authentication Example
// app/services/authentication.js
import Service from '@ember/service';
import { tracked } from '@glimmer/tracking';
export default class AuthenticationService extends Service {
@tracked isAuthenticated = false;
@tracked user = null;
// টোকেন সেভ করা
saveToken(token) {
localStorage.setItem('auth_token', token);
this.isAuthenticated = true;
}
// টোকেন রিড করা
loadToken() {
const token = localStorage.getItem('auth_token');
if (token) {
this.isAuthenticated = true;
return token;
}
return null;
}
// লগইন করা
login(username, password) {
return this.ajax.post('/api/login', { data: { username, password } })
.then(response => {
this.saveToken(response.token);
});
}
// লগ আউট করা
logout() {
localStorage.removeItem('auth_token');
this.isAuthenticated = false;
}
}
এখানে:
- saveToken() মেথডটি localStorage-এ JWT টোকেন সংরক্ষণ করে।
- loadToken() মেথডটি টোকেন রিড করে এবং যদি টোকেন থাকে, তবে এটি প্রমাণীকৃত হিসেবে চিহ্নিত করে।
- login() মেথডটি সার্ভারে লগইন রিকোয়েস্ট পাঠায় এবং সফল হলে টোকেন সংরক্ষণ করে।
Token Attach to Requests
এখন, এই টোকেনটি যেকোনো API রিকোয়েস্টের সাথে সংযুক্ত করতে হবে।
// app/services/ajax.js
import AjaxService from 'ember-ajax/services/ajax';
import { inject as service } from '@ember/service';
export default class CustomAjaxService extends AjaxService {
@service authentication;
// AJAX রিকোয়েস্টে টোকেন যোগ করা
headers = {
'Authorization': `Bearer ${this.authentication.loadToken()}`
};
}
এখানে, CustomAjaxService-এ Authorization header-এ Bearer token যোগ করা হয়েছে, যা API রিকোয়েস্টের সাথে প্রমাণীকরণ করতে ব্যবহার হবে।
3. Token Expiration and Refresh
Token Expiration-এর ক্ষেত্রে, যদি JWT token মেয়াদোত্তীর্ণ হয়, তাহলে ক্লায়েন্টকে নতুন টোকেন রিফ্রেশ করতে বলা হয়। এটি সাধারণত Refresh Tokens ব্যবহার করে করা হয়, যা সার্ভার থেকে স্বতন্ত্রভাবে ইস্যু করা হয়।
Refresh Token Flow:
- Access Token মেয়াদ শেষ হলে, Refresh Token ব্যবহার করে নতুন Access Token চাওয়া হয়।
- নতুন Access Token আসলে, ক্লায়েন্ট এটি সঞ্চয় করে এবং পরবর্তী API রিকোয়েস্টের জন্য ব্যবহার করা হয়।
Refresh Token Example
// app/services/authentication.js
import Service from '@ember/service';
export default class AuthenticationService extends Service {
refreshToken() {
const refreshToken = localStorage.getItem('refresh_token');
return this.ajax.post('/api/refresh_token', { data: { refresh_token: refreshToken } })
.then(response => {
this.saveToken(response.token); // নতুন টোকেন সেভ করা
});
}
}
এখানে refreshToken() মেথডটি refresh_token পাঠিয়ে নতুন access_token পায় এবং সেটি সেভ করে।
CSRF Protection এবং Authentication এমবারজেএস অ্যাপ্লিকেশনে নিরাপত্তা ব্যবস্থা যোগ করার জন্য গুরুত্বপূর্ণ। CSRF প্রটেকশনের জন্য token-based authentication ব্যবহার করে নিরাপদ রিকোয়েস্ট তৈরি করা যায়, এবং Authentication টোকেন ব্যবস্থাপনার মাধ্যমে ব্যবহারকারীর সেশন এবং নিরাপত্তা নিশ্চিত করা হয়। Ember.js-এর service ব্যবহারের মাধ্যমে আপনি অ্যাপ্লিকেশনের নিরাপত্তা ব্যবস্থাপনা সহজে কাস্টমাইজ এবং পরিচালনা করতে পারেন।
Ember Simple Auth একটি জনপ্রিয় Ember.js অ্যাডন যা অ্যাপ্লিকেশনে ইউজার অথেন্টিকেশন এবং অথরাইজেশন পরিচালনা করতে সহায়ক। এটি ইউজার লগইন, লগআউট, টোকেন ব্যবস্থাপনা এবং সেশনের স্টোরেজ সহজভাবে পরিচালনা করে। Ember Simple Auth-এর সাহায্যে আপনি আপনার Ember অ্যাপ্লিকেশনে নিরাপদভাবে ইউজার অথেন্টিকেশন যোগ করতে পারেন।
এখানে আমরা Ember Simple Auth ব্যবহার করে কীভাবে ইউজার অথেন্টিকেশন ইনস্টল, কনফিগার এবং পরিচালনা করা যায়, তা বিস্তারিতভাবে দেখব।
1. Ember Simple Auth ইনস্টলেশন
Ember Simple Auth ইনস্টল করতে, আপনি Ember CLI ব্যবহার করবেন। প্রথমে এটি ইনস্টল করতে হবে:
ember install ember-simple-auth
এটি ember-simple-auth অ্যাডন ইনস্টল করবে এবং আপনার প্রজেক্টে প্রয়োজনীয় কনফিগারেশন সেটআপ করবে।
2. Ember Simple Auth কনফিগারেশন
এখন আপনাকে Ember Simple Auth এর কনফিগারেশন করতে হবে। সাধারণত, আপনি app/authenticators/application.js এবং app/authorizers/application.js ফাইল তৈরি করবেন, যেগুলি ইউজারের অথেন্টিকেশন এবং অথরাইজেশন পরিচালনা করবে।
২.১ Authenticator তৈরি করা
একটি authenticator তৈরি করতে, আপনাকে একটি ফাইল তৈরি করতে হবে যেখানে আপনি ইউজারের লগইন তথ্য যাচাই করবেন। এখানে আমরা একটি টোকেন ভিত্তিক অথেন্টিকেশন ব্যবস্থার উদাহরণ দেখব।
ember generate authenticator oauth2
এটি app/authenticators/oauth2.js ফাইল তৈরি করবে। আপনি এই ফাইলে আপনার টোকেন যাচাই এবং পুনরুদ্ধারের লজিক লিখবেন।
// app/authenticators/oauth2.js
import OAuth2PasswordGrant from 'ember-simple-auth/authenticators/oauth2-password-grant';
export default OAuth2PasswordGrant.extend({
serverTokenEndpoint: 'https://api.example.com/token', // API endpoint
});
এখানে, OAuth2PasswordGrant ব্যবহার করে token ফেচ এবং সংরক্ষণ করা হবে।
২.২ Authorizer তৈরি করা
এখন, আপনাকে authorizer তৈরি করতে হবে যা টোকেন সংগ্রহ এবং প্রেরণ করবে।
ember generate authorizer application
এটি app/authorizers/application.js ফাইল তৈরি করবে।
// app/authorizers/application.js
import Base from 'ember-simple-auth/authorizers/base';
export default Base.extend({
authorize(data, block) {
const token = data.authenticated.access_token;
block('Authorization', `Bearer ${token}`);
}
});
এখানে, Authorization হেডারে Bearer token যোগ করা হচ্ছে যাতে এটি API রিকোয়েস্টে পাঠানো যায়।
3. Ember Simple Auth কনফিগারেশন এবং সংযোগ
এখন, আপনাকে Ember Simple Auth এর কনফিগারেশন app/initializers/ember-simple-auth.js ফাইলে করতে হবে।
// app/initializers/ember-simple-auth.js
import { initialize } from 'ember-simple-auth/initializers/session';
import { inject as service } from '@ember/service';
export function initialize(application) {
application.inject('route', 'session', service());
}
export default {
initialize
};
এখানে, session service প্রত্যেক রাউটে ইনজেক্ট করা হয়েছে যাতে অ্যাপ্লিকেশন জুড়ে সেশন ডেটা অ্যাক্সেস করা যায়।
4. UI (User Interface) তৈরি করা
এখন, আপনাকে লগইন ফর্ম তৈরি করতে হবে যাতে ইউজার নাম এবং পাসওয়ার্ড ইনপুট করতে পারে। Ember Simple Auth-এর সাহায্যে আপনি লগইন ফর্মটি তৈরি করতে পারেন।
৪.১ Login কম্পোনেন্ট তৈরি করা
ember generate component login-form
এটি একটি নতুন কম্পোনেন্ট তৈরি করবে, যা আপনার login ফর্মের জন্য ব্যবহৃত হবে।
// app/components/login-form.js
import Component from '@glimmer/component';
import { action } from '@ember/object';
import { inject as service } from '@ember/service';
export default class LoginFormComponent extends Component {
@service session;
username = '';
password = '';
@action
async login() {
try {
await this.session.authenticate('authenticator:oauth2', this.username, this.password);
// Redirect to dashboard or home
this.transitionToRoute('dashboard');
} catch (error) {
alert('Login failed');
}
}
}
এখানে, login অ্যাকশনটি session.authenticate কল করে এবং ইউজারকে লগইন করে। যদি লগইন সফল হয়, তবে ইউজারকে dashboard রাউটে রিডাইরেক্ট করা হবে।
৪.২ Login টেমপ্লেট
<!-- app/templates/components/login-form.hbs -->
<form {{on "submit" this.login}}>
<label for="username">Username</label>
<input id="username" type="text" value={{this.username}} required>
<label for="password">Password</label>
<input id="password" type="password" value={{this.password}} required>
<button type="submit">Login</button>
</form>
এখানে, ইউজারের username এবং password ইনপুট ফিল্ডে নেওয়া হচ্ছে এবং লগইন বাটনে ক্লিক করলে login অ্যাকশন ট্রিগার হবে।
5. Authentication এর পরে রিডাইরেকশন
একবার ইউজার লগইন সফল হলে, আপনি তাকে অ্যাপ্লিকেশনের dashboard বা অন্য কোনো প্রোটেক্টেড রাউটে রিডাইরেক্ট করতে পারেন। এটি Ember Simple Auth এর মাধ্যমে সহজে করা যায়।
// app/routes/application.js
import Route from '@ember/routing/route';
import { inject as service } from '@ember/service';
export default class ApplicationRoute extends Route {
@service session;
beforeModel() {
if (!this.session.isAuthenticated) {
this.transitionTo('login');
}
}
}
এখানে, beforeModel হুক ব্যবহার করে চেক করা হচ্ছে যে ইউজার লগইন করেছেন কিনা। যদি না করেন, তবে তাকে login রাউটে রিডাইরেক্ট করা হবে।
6. Logout ফাংশন
এবার আপনি ইউজারের logout ফাংশনও তৈরি করতে পারেন, যা সেশন শেষ করবে এবং ইউজারকে লগআউট করবে।
// app/components/logout-button.js
import Component from '@glimmer/component';
import { action } from '@ember/object';
import { inject as service } from '@ember/service';
export default class LogoutButtonComponent extends Component {
@service session;
@action
logout() {
this.session.invalidate(); // Logout
this.transitionToRoute('login');
}
}
এখানে, logout অ্যাকশনটি session.invalidate() ব্যবহার করে সেশন ইন্টেরেকশন বন্ধ করবে এবং ইউজারকে লগইন পৃষ্ঠায় রিডাইরেক্ট করবে।
Ember Simple Auth এর মাধ্যমে আপনি সহজেই আপনার Ember.js অ্যাপ্লিকেশনে authentication এবং authorization ম্যানেজ করতে পারেন। এটি ইউজার লগইন, লগআউট, টোকেন ব্যবস্থাপনা এবং সেশন পরিচালনার জন্য কার্যকরী টুলস সরবরাহ করে। OAuth2 বা JWT ভিত্তিক অথেন্টিকেশন ব্যবস্থায় সহজেই কাজ করতে পারে এবং Ember.js অ্যাপ্লিকেশনে নিরাপত্তা নিশ্চিত করতে সহায়ক।
Authorization এবং Access Control হল সিকিউরিটি বৈশিষ্ট্য যা অ্যাপ্লিকেশন ডেভেলপমেন্টের গুরুত্বপূর্ণ অংশ। Ember.js অ্যাপ্লিকেশনেও এই সিকিউরিটি বৈশিষ্ট্যগুলি গুরুত্বপূর্ণ ভূমিকা পালন করে, কারণ এটি সঠিকভাবে নির্ধারণ করে যে কোন ইউজার কি করতে পারবে এবং কোন রিসোর্স অ্যাক্সেস করতে পারবে।
Authorization এবং Access Control: পার্থক্য
- Authorization হল প্রক্রিয়া যার মাধ্যমে একটি সিস্টেম বা অ্যাপ্লিকেশন ব্যবহারকারীর অধিকার যাচাই করে, যেমন, তারা কোন রিসোর্স অ্যাক্সেস করতে পারবে বা কোন কাজ করতে পারবে।
- Access Control হল সেই কৌশল যা ব্যবহারকারীর অ্যাক্সেস এবং পারমিশন নির্ধারণ করে।
Ember.js-এ authorization এবং access control বাস্তবায়ন করা বেশ সহজ এবং এর মাধ্যমে আপনি বিভিন্ন ধরনের ইউজার, রোল বা পারমিশন ম্যানেজ করতে পারবেন।
Ember.js অ্যাপ্লিকেশনে Authorization এবং Access Control বাস্তবায়ন
Ember.js-এ authorization এবং access control ব্যবস্থা স্থাপন করতে, সাধারণত authentication (লগইন) এবং authorization (পার্থক্যযোগ্য পারমিশন এবং রোল ভিত্তিক অ্যাক্সেস) আলাদাভাবে ম্যানেজ করা হয়। এটির জন্য সাধারণভাবে services ব্যবহার করা হয়।
১. Authentication এবং Authorization Service
Ember.js-এ authentication এবং authorization পরিষেবা (services) তৈরি করে, আপনি বিভিন্ন রোল এবং পারমিশন সেট করতে পারেন। উদাহরণস্বরূপ, ব্যবহারকারীর লগইন স্টেট এবং তাদের অ্যাক্সেসযোগ্য রিসোর্সের মান যাচাই করা।
Authentication Service
// app/services/authentication.js
import Service from '@ember/service';
export default class AuthenticationService extends Service {
currentUser = null;
isAuthenticated = false;
login(user) {
// ইউজার লগইন হলে currentUser সেট করা হয়
this.currentUser = user;
this.isAuthenticated = true;
}
logout() {
// ইউজার লগআউট হলে currentUser এবং isAuthenticated রিসেট করা হয়
this.currentUser = null;
this.isAuthenticated = false;
}
get isUserAuthenticated() {
return this.isAuthenticated;
}
}
এখানে, authentication service ব্যবহার করে currentUser এবং isAuthenticated সনাক্ত করা হচ্ছে। আপনি login() এবং logout() মেথড ব্যবহার করে লগইন এবং লগআউট স্টেট ম্যানেজ করতে পারেন।
Authorization Service
এখন, আপনি authorization পরিষেবা তৈরি করতে পারেন যা ইউজারের রোল বা পারমিশন যাচাই করবে।
// app/services/authorization.js
import Service from '@ember/service';
export default class AuthorizationService extends Service {
roles = {
admin: ['create', 'read', 'update', 'delete'],
user: ['read'],
};
checkPermission(userRole, action) {
let rolePermissions = this.roles[userRole] || [];
return rolePermissions.includes(action);
}
}
এখানে, roles একটি অবজেক্ট হিসেবে প্রতিটি রোলের জন্য অ্যাক্সেসযোগ্য permissions সংরক্ষণ করছে। checkPermission() মেথডটি ইউজারের রোল এবং অনুমোদিত অ্যাকশনের মধ্যে মিল যাচাই করে।
২. Route Guards
Ember.js-এ route guards বা route-based access control ব্যবহার করে, আপনি নির্দিষ্ট রাউট বা পৃষ্ঠায় ইউজারের অ্যাক্সেস কন্ট্রোল করতে পারেন। এই guards ব্যবহার করে আপনি নিশ্চিত করতে পারেন যে শুধুমাত্র অনুমোদিত ব্যবহারকারীরাই নির্দিষ্ট রাউট অ্যাক্সেস করতে পারবে।
Route Guards উদাহরণ
// app/routes/protected.js
import Route from '@ember/routing/route';
export default class ProtectedRoute extends Route {
beforeModel(transition) {
let authService = this.owner.lookup('service:authentication');
if (!authService.isUserAuthenticated) {
// যদি ইউজার লগইন না করে থাকে, তবে তাকে লগইন পৃষ্ঠায় রিডিরেক্ট করা হবে
this.transitionTo('login');
}
}
}
এখানে, beforeModel() মেথডে authentication service চেক করা হয়েছে। যদি ইউজার authenticated না থাকে, তবে তাকে login রাউটে রিডিরেক্ট করা হবে।
৩. Role-based Access Control (RBAC)
Ember.js-এ Role-based Access Control (RBAC) বাস্তবায়ন করার জন্য, authorization service ব্যবহার করে ইউজারের রোলের ভিত্তিতে অ্যাক্সেস কন্ট্রোল পরিচালনা করা হয়। এই সিস্টেমে, ইউজারের রোল (যেমন: admin, user, ইত্যাদি) নির্ধারণ করে তাদের অ্যাক্সেসযোগ্য অ্যাকশন ও রিসোর্স।
Role-based Access Control Example
// app/components/admin-dashboard.js
import Component from '@glimmer/component';
import { inject as service } from '@ember/service';
export default class AdminDashboardComponent extends Component {
@service authorization;
@service authentication;
get canViewDashboard() {
return this.authorization.checkPermission(this.authentication.currentUser.role, 'read');
}
get canCreateContent() {
return this.authorization.checkPermission(this.authentication.currentUser.role, 'create');
}
}
এখানে, AdminDashboardComponent-এ, ইউজারের রোল যাচাই করা হচ্ছে এবং সেই রোলের উপর ভিত্তি করে read এবং create পারমিশন চেক করা হচ্ছে। যদি ইউজার admin না হয়, তাহলে কিছু ফিচার যেমন content creation নিষিদ্ধ থাকবে।
৪. URL-based Authorization
Ember.js এ URL লেভেলে authorization প্রয়োগ করার জন্য আপনি রাউট বা লিঙ্কের প্রপার্টি চেক করে অ্যাক্সেস নিয়ন্ত্রণ করতে পারেন।
// app/templates/application.hbs
{{#if this.authentication.isAuthenticated}}
{{#link-to 'dashboard'}}Dashboard{{/link-to}}
{{else}}
<p>Please log in to view the dashboard.</p>
{{/if}}
এখানে, authentication service ব্যবহার করে Dashboard লিঙ্কটি কেবলমাত্র তখনই প্রদর্শিত হবে যখন ইউজার authenticated থাকবে।
৫. Error Handling এবং User Feedback
Authorization এবং Access Control ব্যবস্থাপনায় ব্যবহারকারীর কাছে পরিষ্কারভাবে ব্যাখ্যা করা উচিত কেন তাদের কিছু অ্যাকশন বা রিসোর্স অ্যাক্সেস করা হচ্ছে না। একটি সাধারণ error message বা feedback সিস্টেম ব্যবহার করুন যা ইউজারদের জানাবে কেন তাদের অ্যাক্সেস রিফিউজ করা হয়েছে।
// app/routes/protected.js
beforeModel(transition) {
let authService = this.owner.lookup('service:authentication');
if (!authService.isUserAuthenticated) {
alert('You must be logged in to access this page.');
this.transitionTo('login');
}
}
এখানে, ব্যবহারকারীর জন্য একটি সতর্কবার্তা (alert) প্রর্দশিত হচ্ছে, যাতে তারা জানতে পারে যে লগইন না করার কারণে অ্যাক্সেস দেওয়া হয়নি।
Authorization এবং Access Control Ember.js অ্যাপ্লিকেশনগুলিতে অত্যন্ত গুরুত্বপূর্ণ, কারণ এটি ডেটা নিরাপত্তা এবং ইউজার ইন্টারঅ্যাকশনের উপর নিয়ন্ত্রণ রাখে। আপনি authentication service, authorization service, role-based access control (RBAC), এবং route guards ব্যবহার করে একটি নিরাপদ এবং কার্যকরী অ্যাপ্লিকেশন তৈরি করতে পারবেন।
Ember.js এর এই বৈশিষ্ট্যগুলি ব্যবহার করে আপনি নিশ্চিত করতে পারেন যে শুধু অনুমোদিত ব্যবহারকারীরাই সংবেদনশীল তথ্য বা রিসোর্স অ্যাক্সেস করতে পারবে, যা অ্যাপ্লিকেশনের সিকিউরিটি এবং ইউজার এক্সপেরিয়েন্স উন্নত করতে সহায়ক।
Read more
