我使用这个包的用户会话记录:https://www.npmjs.com/package/client-sessions如何安全地确定用户在使用客户会话
登录进行得很顺利,但我不知道如果我检查我的用户已正确且安全地登录。我相信这些会话是加密的,但似乎只是检查if(req.session && req.session.user)
是不够安全的。这是检查用户是否登录的正确方法吗?要清楚的是,用户在我指示的30分钟后登录并退出,但我不是一个黑客,我不希望人们只是修改他们的cookie来进入其他用户的账户。
var session = require('client-sessions');
app.use(session({
cookieName: 'session',
secret: config.secret,
duration: 30 * 60 * 1000,
activeDuration: 5 * 60 * 1000
}));
router.get('/', function(req, res, next) {
if(req.session && req.session.user)
return res.redirect('amazingpage');
else
res.render('index');
});