我正在构建一个拥有不同权限级别的用户的网站,我想确保我使用的是安全模式。前端是Angular,后端是NodeJS,Express和MongoDB。还有一个TLS 1.1连接加密。对于需要特定权限级别的过程,一旦我在Express中收到HTTP请求,我就使用中间件函数使用req.session.user._id从数据库中查询该用户并确认他们具有适当级别的权限。如果他们这样做,我调用next(),如果没有,我抛出会话错误。
权限检查全部在后端,因此我认为这是安全的,但如果有人知道具有一定级别权限的用户的ID,他们是否可以破解浏览器会话以便发送具有较高权限的用户的用户ID并获得对受限制程序的访问权限?
更具体地说,正如Vasan在下面的评论中指出的那样,我需要做些什么来适当地设置会话属性以确保ID cookie是安全的?
编辑:所以@ Vasan的问题提醒我,我们实际上正在使用快速会话来创建后端会话,而且我将浏览器会话与该Express会话混淆。 (谢谢瓦桑!)我修改了这个问题,以反映原始查询和随后的重新聚焦。