我是网络开发中的Node,Passport和身份验证的新手
我跟着this tutorial for setting up local authentication using the Passport module。
我希望有经验的开发人员可以对那里教授的设计的安全性发表评论。
更具体地说,
1)当作者发送POST以发送凭据时,他不应该通过HTTPS进行吗?什么时候需要使用HTTPS,以便其他人不会嗅探您的信息?如何使用HTTPS将设计更改为POST?
2)我无法跟踪如何跟踪会话。护照是否抽象了所有会议的工作?如果是这样,他们使用cookies吗?饼干是明文吗?用户是否在cookie中获得令牌?那是如何使用LoggedIn()吗?
3)他是否免费获得内容注入的任何保护?我没有看到任何代码试图逃避危险的角色或任何东西。
无论如何,黑客如何安全地设计这个设计?