0
我正在使用node.js.我正在考虑在会话变量中存储一个会话ID,这样每次我向某个路由发出请求时,服务器都会检查数据库中具有该会话ID的用户是否有权访问该页面。如何在没有数据库开销的情况下检查授权?
这似乎有点低效,因为每个页面请求都会有数据库调用。我知道我可以将一些数据存储在cookies/session变量中以避免数据库调用,但是我容易被篡改。
其他Web开发人员如何处理此问题?
A
回答
1
与https一起使用的服务器端会话和关联的加密会话cookie是安全的。所以,只要在服务器端会话中保留一个值,告诉你用户是否已经过身份验证,并且只需在服务器端会话对象中检查该变量即可。这就是我所知道的每个网站都会做的事情。
与适当的会话存储一起使用的NPM模块express-session将为您执行大部分操作。
如果你有一个特定的原因,为什么你认为这不安全,请分享这些原因,以便他们可以讨论。
以下是关于确保node.js服务器安全的一般性文章,第6条关于保护会话cookie:9 Security Tips to Keep Express from Getting Pwned。
相关问题
- 1. iOS在没有打开Dropbox应用的情况下授权Dropbox
- 2. 如何在没有数据库的情况下收集数据
- 3. 允许在没有授权的情况下访问单个API?
- 4. 在没有授权用户的情况下搜索LinkedIn API
- 5. 如何在没有createCommand的情况下从数据库检索信息?
- 6. 如何在没有JNDI的情况下使用DataSource检索数据库连接?
- 7. 如何在没有HTTP重定向的情况下获得新的“授权码”?
- 8. 如何在没有CentOS设置帐户的情况下授予访问权限
- 9. 如何在没有用户授权的情况下使用Trello API?
- 10. 如何在没有Facebook用户的情况下进行搜索Facebook授权
- 11. 如何在没有SuperSU的情况下授予root访问权限
- 12. 如何在没有约束检查的情况下删除表
- 13. 如何在没有mysql的数据库上授予特权?
- 14. 在有或没有索引的情况下复制数据库?
- 15. 如何在没有数据的情况下创建mysql数据库基线
- 16. 如果在没有检查的情况下运行,如果
- 17. 你如何在没有开销的情况下丰富价值课程?
- 18. 在没有'foreach'的情况下检索Webmatrix中的数据
- 19. 我可以在没有任何授权问题的情况下使用jquery吗?
- 20. 在没有ORM的情况下在Python中使用数据库
- 21. 在没有root权限的情况下管理git仓库
- 22. 如何在没有提交按钮的情况下选择下拉选项时从数据库检索数据
- 23. 如何在没有打开cmd的情况下打开steam/etc?
- 24. 如何在没有权限的情况下查找所有.git否认消息?
- 25. 如何在没有sudo权限的情况下访问硬盘?
- 26. 如何在没有root权限的情况下安装perlbrew?
- 27. 如何在没有root权限的情况下安装OpenCv 3.1.0?
- 28. 在没有ACCESS_NETWORK_STATE权限的情况下检查Android中的互联网连接
- 29. 如何在没有任何数据库的情况下保存我的datagridview?
- 30. CoreData数据库在没有iCloud的情况下同步?
我猜想我试图在会话cookie中尽可能少地存储信息,简单地说,如果有人“读取”cookie中的信息,他们不会了解有关网站内部功能的任何信息。我想一个签名的cookie和https应该有助于避免篡改。 –
@KaizerSozay - 类似express-session的东西只在cookie中存储单个会话ID(只有长的加密字符串)。所有其他用户会话状态都存储在服务器端的实际会话对象中,服务器本身以外的任何人都无权访问该对象。 – jfriend00
谢谢。我不知道! –