我正在使用nodejs express + mongodb构建应用程序。 我需要添加身份验证。
我找到了以下选项:
如果我将这两个中的一个与ssl合并,我通过互联网传递的用户凭据是否安全?
答案 0 :(得分:0)
嗯,两者都是安全但不同的(https就是这样)。
如果您在身份验证后需要服务器端会话,则可以轻松设置护照,并支持大量的身份验证方式。
对于JsonWebTokens,是实现无会话的身份验证的好方法,比如与REST API交互。
这是一本很好的读物:If REST applications are supposed to be stateless, how do you manage sessions?
答案 1 :(得分:0)
是的,如果您这样做将是安全的,如果您想提高安全性,可以考虑使用双因素身份验证。
json web令牌只是用于基于令牌的身份验证的标准,而护照框架是一种可以帮助您以更安全的方式构建软件的工具。我不熟悉Passport Framework,但我相信它提供的所有策略都将使用JWT。
TLS(或SSL)是一种隧道协议,用于隧道不安全的http协议,该协议将纯文本数据发送到服务器。您可能对RFC1818感兴趣,它提供了有关在tls中使用http的一些信息。
在发送敏感信息时隧道http请求非常重要。它会添加到你的应用程序: 1)服务器认证 2)完整性保护 3)重播保护 4)保密