如何在Node.js中重新使用由Play Framework 2.2设置的签名cookie?
背景:我的公司在Play Framework 2.2中开发了一个REST-api,我们使用Play的内置身份validation,使用签名的cookie作为安全性。 我们的应用程序分成多个Play实例共享相同的application.secret。 这使我们能够读取所有Play上的会话cookie非常简单。
问题:现在我们正在将REST-api的某些部分迁移到Node.js,并希望在那里使用相同的会话cookie(使用相同的application.secret)来检测用户是否login。 我搜查了互联网,我没有发现任何关于这个话题。
问:那么有可能吗? 它被认为是足够安全的,还是我需要迁移到另一种身份validation方法?
Cookie在CookieBaker中进行编码:
与使用Crypto.sign的HMAC-SHA1签名:
你有应用程序的秘密,大概Node.js有相同的签名algorithm,所以你应该很好去。