我使用這個包的用戶會話記錄:https://www.npmjs.com/package/client-sessions如何安全地確定用戶在使用客戶會話
登錄進行得很順利,但我不知道如果我檢查我的用戶已正確且安全地登錄。我相信這些會話是加密的,但似乎只是檢查if(req.session && req.session.user)
是不夠安全的。這是檢查用戶是否登錄的正確方法嗎?要清楚的是,用戶在我指示的30分鐘後登錄並退出,但我不是一個黑客,我不希望人們只是修改他們的cookie來進入其他用戶的賬戶。
var session = require('client-sessions');
app.use(session({
cookieName: 'session',
secret: config.secret,
duration: 30 * 60 * 1000,
activeDuration: 5 * 60 * 1000
}));
router.get('/', function(req, res, next) {
if(req.session && req.session.user)
return res.redirect('amazingpage');
else
res.render('index');
});