是node.js Express.cookieSession足够安全地保存敏感数据?
我对会议有很好的基本了解。
有两个选项可以使用express和node.js进行会话。
express.session
-
express.cookieSession
第一个我很熟悉,但是我有一些关于第二个方法的问题。
使用cookieSession将存储客户端cookie中的所有实际数据。 这意味着敏感数据将被保存在客户端。
这看起来非常糟糕。 这是否意味着某些恶意软件可能检索到这些数据?
还有一个问题:
我试图用express.cookieSession
replace我的express.session
,一切正常,我可以看到客户端的数据,但似乎每次我删除cookie并重新进入服务器,我得到同样的会话令牌。 这怎么可能?
除了改变express.session
之外,还有什么我应该做的,让我们说:
app.use(express.cookieSession({ secret: 'keyboard cat' }));
每当客户获得新的会话时,为什么我会得到相同的标记?
关于安全性的问题1:一个站点不能访问另一个站点的cookie,但是在将敏感数据放在客户端时肯定会有风险。 这是不build议的。 在这里阅读答案的基本概要: 如何在PHP中安全地存储包含敏感数据的cookie?
问题2关于同样的道理,请参阅我对你的问题的评论。
- 在node.js中,如何使用socket.io设置redis并进行expression? 特别使用RedisStore()
- Node.js Express禁用自动会话创build
- Node.js客户端会话不创buildreq.session
- Sails.jsauthentication用户的单个实例
- 带会话处理的套接字。 在Post方法上创build会话。 服务器端值被设置。 但发射到客户端刷新
- connect.session的秘密和connect.cookieParser的区别?
- redis保存会话和其他数据
- closures浏览器后保持会话活动 – Node.js +客户端会话
- 会话variables不存储在node.js中