在对用户进行身份验证后,是否应将此信息存储在req.session中,以便从那里再次进行身份验证? (https://stackoverflow.com/a/8003291/1266650)
我主要担心的是,我的理解是会话只是cookie(对吗?),所以不能只是以预期的方式设置他们的cookie并欺骗他的方式出现像登录用户即使没有通过登录程序?
(我正在node.js制作应用程序)
答案 0 :(得分:1)
按照您提供的链接进行操作,这是正确的。
如上所述Benjamin Gruenbaum:
如果您使用的是express这样的模块,则会考虑session hijacking的可能性。
但是,如果您想要更加安全地进入session tracking并了解它,您可以自己制作。 (这里有一个answer来指导你)