我正在尝试构建一个API来控制Node.js中的用户身份验证过程,只是为了锻炼自己,但我对Node.js环境中可用的资源不是很熟悉。 / p>
问题是:我可以用什么来识别用户?我现在唯一能想到的就是饼干,但这看起来并不安全。我想也许在我可以使用的http请求中有一些变量。
我不希望您列出为我处理身份验证的JS库。我想尝试自己建一个。
答案 0 :(得分:1)
您可以将自己的代码实现为练习,但代码用于建立身份验证的机制应该与业界现有的常规做法完全匹配。具体而言,您应该使用会话cookie,它需要具有许多非常特定的属性才能保证安全。对于大多数Web流量,Cookie足够安全,并结合了许多其他最佳实践(https,服务器强化,安全补丁等)。为了增强安全性,这通常与重要操作(亚马逊,雅虎),双因素身份验证(谷歌,github等),欺诈检测启发式(Facebook,银行业务等)之前的其他密码提示结合使用.Cookie恰恰是&# 34; http请求中的变量"如你所说。