将整个用户放在一个会话中是否安全,而仅仅是node / express的用户ID?
我正在使用节点/快递,并想知道是否可以安全地把整个用户对象在会议而不是只是Id 。 如果我只是做了这个Id那么这意味着当我去获取当前的用户时,我必须再打一个数据库调用。
我看到有人这样做,但如果把Id放在一个更安全的地方,那么我会去做这件事。 我应该声明,我将把用户的密码附加到会话或任何其他敏感数据之前。
没有什么特别不安全的,但通常不被认为是一种好的做法。 当你更新你的用户数据时,你必须更新你的会话和数据库,所以现在你必须保持同步,这就产生了挑战。
还要记住你的会话存储。 会话中的数据越多,会话存储的存储需求就越大,可能不是问题,而是需要考虑的问题。