给出here的最高投票答案是否安全?
据我所知,通讯未加密。是否需要修补任何其他漏洞以获得真正安全的身份验证系统?
答案 0 :(得分:2)
在Express中,会话使用cookie在浏览器和数据库之间建立连接。使用您在应用程序中设置的密钥对cookie进行加密。如果您有兴趣,这是用于加密cookie的代码:https://github.com/senchalabs/connect/blob/master/lib/utils.js#L158-163
如果您害怕网络上的某个人可以嗅到流量,那么您应该使用HTTPS,如果您更加偏执,您可以再次使用客户端对数据进行加密,并使用{{3对服务器端进行解密}}。
答案 1 :(得分:0)
如果您还试图防止连接中间人攻击,那么您绝对需要HTTPS连接,来自经过认证的机构的签名,并阻止第三方代码注入您的页面