这是一个Node.js和Socket.io的声音authenticationscheme吗?

我正在尝试使用Node.js(Express),Socket.io和Redux / ReactJS来设置用户login系统。 这是我正在采取的方法:

  1. 用户一进入Web应用程序,用户就通过Socket.io连接。
  2. 通过socketio-auth用户需要进行身份validation并将其用户名和密码传递给服务器。
  3. 然后,使用socket.io-express-session ,就像本例中一样 ,我使用用户名和密码设置了一个cookie,这样每次他们回到网站,都可以通过socketio-auth进行重新authentication。 (我意识到我可以保存cookie中的唯一标记,而这会更好吗?)
  4. 在服务器上,在进行身份validation时,我只是将他们的详细信息与他们的socketId一起保存到Redux存储中,以便在会话持续的每个Socket.io请求中使用。

假设这是通过SSL完成的,这是安全的吗? 你会build议什么改变? 我试图尽可能简单但仍然非常安全。

看起来像第3点,本地存储,是目前最好的方式。

看别人审讯: https : //github.com/hueniverse/hawk/issues/138#issuecomment-196989520