0
我正在使用node.js.我正在考慮在會話變量中存儲一個會話ID,這樣每次我向某個路由發出請求時,服務器都會檢查數據庫中具有該會話ID的用戶是否有權訪問該頁面。如何在沒有數據庫開銷的情況下檢查授權?
這似乎有點低效,因爲每個頁面請求都會有數據庫調用。我知道我可以將一些數據存儲在cookies/session變量中以避免數據庫調用,但是我容易被篡改。
其他Web開發人員如何處理此問題?
A
回答
1
與https一起使用的服務器端會話和關聯的加密會話cookie是安全的。所以,只要在服務器端會話中保留一個值,告訴你用戶是否已經過身份驗證,並且只需在服務器端會話對象中檢查該變量即可。這就是我所知道的每個網站都會做的事情。
與適當的會話存儲一起使用的NPM模塊express-session將爲您執行大部分操作。
如果你有一個特定的原因,爲什麼你認爲這不安全,請分享這些原因,以便他們可以討論。
以下是關於確保node.js服務器安全的一般性文章,第6條關於保護會話cookie:9 Security Tips to Keep Express from Getting Pwned。
相關問題
- 1. iOS在沒有打開Dropbox應用的情況下授權Dropbox
- 2. 如何在沒有數據庫的情況下收集數據
- 3. 允許在沒有授權的情況下訪問單個API?
- 4. 在沒有授權用戶的情況下搜索LinkedIn API
- 5. 如何在沒有createCommand的情況下從數據庫檢索信息?
- 6. 如何在沒有JNDI的情況下使用DataSource檢索數據庫連接?
- 7. 如何在沒有HTTP重定向的情況下獲得新的「授權碼」?
- 8. 如何在沒有CentOS設置帳戶的情況下授予訪問權限
- 9. 如何在沒有用戶授權的情況下使用Trello API?
- 10. 如何在沒有Facebook用戶的情況下進行搜索Facebook授權
- 11. 如何在沒有SuperSU的情況下授予root訪問權限
- 12. 如何在沒有約束檢查的情況下刪除表
- 13. 如何在沒有mysql的數據庫上授予特權?
- 14. 在有或沒有索引的情況下複製數據庫?
- 15. 如何在沒有數據的情況下創建mysql數據庫基線
- 16. 如果在沒有檢查的情況下運行,如果
- 17. 你如何在沒有開銷的情況下豐富價值課程?
- 18. 在沒有'foreach'的情況下檢索Webmatrix中的數據
- 19. 我可以在沒有任何授權問題的情況下使用jquery嗎?
- 20. 在沒有ORM的情況下在Python中使用數據庫
- 21. 在沒有root權限的情況下管理git倉庫
- 22. 如何在沒有提交按鈕的情況下選擇下拉選項時從數據庫檢索數據
- 23. 如何在沒有打開cmd的情況下打開steam/etc?
- 24. 如何在沒有權限的情況下查找所有.git否認消息?
- 25. 如何在沒有sudo權限的情況下訪問硬盤?
- 26. 如何在沒有root權限的情況下安裝perlbrew?
- 27. 如何在沒有root權限的情況下安裝OpenCv 3.1.0?
- 28. 在沒有ACCESS_NETWORK_STATE權限的情況下檢查Android中的互聯網連接
- 29. 如何在沒有任何數據庫的情況下保存我的datagridview?
- 30. CoreData數據庫在沒有iCloud的情況下同步?
我猜想我試圖在會話cookie中儘可能少地存儲信息,簡單地說,如果有人「讀取」cookie中的信息,他們不會了解有關網站內部功能的任何信息。我想一個簽名的cookie和https應該有助於避免篡改。 –
@KaizerSozay - 類似express-session的東西只在cookie中存儲單個會話ID(只有長的加密字符串)。所有其他用戶會話狀態都存儲在服務器端的實際會話對象中,服務器本身以外的任何人都無權訪問該對象。 – jfriend00
謝謝。我不知道! –