我正在使用node / express,并且想知道将整个用户对象放在会话中是否安全,而不仅仅是Id。如果我只做Id,那么这意味着当我去currentUser时,我必须再拨一个数据库电话。
我见过人们这样做,但如果只是把Id放在那里更安全那么我会去做那件事。我应该声明在将用户密码附加到会话或任何其他敏感数据之前我会取消密码。
答案 0 :(得分:2)
没有什么特别不安全的,但通常不被认为是一种好习惯。当您更新用户数据时,您必须更新会话和数据库,因此现在必须保持这些数据同步,这会带来挑战。
另请注意您的会话商店。会话中的数据越多,会话存储的存储要求就越大,可能不是问题,但需要考虑的事项。