将用户数据保存到req.user和req.passport是否安全?浏览器中的第三方是否易于访问和读取?
如果mongoose条目属于req.user中的用户,我使用req.user来检查ID。我担心的是,如果可以从浏览器访问req.user和req.passport,那么很容易操作POST请求并跳过我的验证。
此致 AA
答案 0 :(得分:0)
假设您使用Express的护照,则护照不会向浏览器提供任何用户信息。
这通常起作用的方式是,当客户端首次联系您的服务器时,唯一的加密会话ID将被放入cookie中,并且所有浏览器都可以看到。该sessionID是服务器端存储的密钥,它提供对用户会话信息的服务器端访问。除非服务器通过将其放入网页或公开端点进行查询来明确地使某些数据可用,否则这些信息都不会出现在浏览器端。