我正在设置一个node.js服务器,想知道在密码重置路由上处理安全性的最佳实践是什么。
我现在正在使用json网络令牌进行安全保护,但我担心如果有人得到了jwt,他们可能会使用此路由来更改其他用户的密码。从理论上讲,HTTPS应该可以防止这种攻击,对吗?但是我只想检查是否存在漏洞。
app.patch('/users/password', authenticate, (req, res) => {
let {password} = req.body;
req.user.password = password;
req.user.save()
.then(user => {
res.send({user});
})
.catch(e => {
res.status(400).send();
});
});
save()函数在保存密码之前先对其进行哈希处理。