我正在使用 nextjs 在一个商业网站上工作,我想确保我的身份验证方法是安全的...
我正在使用基于无状态 cookie 的身份验证...用户数据已加密并在 cookie 中签名,因此我们只需解密 cookie 以查看用户是否已通过身份验证。 cookie 是 httponly、过期、严格相同的站点....
一般流程:
对于以下所有需要身份验证的请求,将验证 csrf 令牌和 cookie 以查看用户是否已通过身份验证。
还有其他安全问题吗?我知道有 next-auth 可用,但我想使用无状态登录和学习