我刚刚在这里阅读了一篇关于ExpressjS安全最佳实践的文章https://expressjs.com/en/advanced/best-practice-security.html。并且它提到快递会话包仅适用于开发环境,而不是生产环境。那么这意味着我无法使用快速会话在我的应用程序中实现身份验证和授权功能吗?如果我在生产环境中使用它?有安全问题还是什么?请帮忙解释一下。谢谢。
答案 0 :(得分:0)
你误解了所写的内容。
here中间件在服务器上存储会话数据;它 仅将会话ID保存在cookie本身中,而不是会话数据中。通过 默认情况下,它使用内存存储而不是为a设计的 生产环境。在制作中,你需要设置一个 可扩展的会话存储;请参阅express-session
列表
这意味着您应该使用外部存储来使用会话(如数据库或像Redis这样的键值存储),以防止在应用重启或崩溃时会话数据丢失。