快速會話使用cookie將瀏覽器連接到會話。會話只能通過入侵您的服務器(在服務器到達服務器時竊取或修改數據),入侵系統(冒充其他用戶)或通過在登錄後竊取cookie來破解會話。
會話本身只在您的服務器上(或您的服務器可能存儲它的任何位置)。會話本身不與客戶端交換。只有用作會話索引的cookie與客戶端交換。客戶端隨後在每個後續請求中呈現此cookie,並允許node.js識別這是哪個用戶,然後查找該用戶的會話對象(在服務器會話存儲中)。所以,會話基本上和cookie和會話存儲一樣安全。如果有人可以抓取cookie或闖入商店,那麼他們可以模擬登錄用戶或直接訪問會話數據。
因此,整體的安全性取決於這些東西:
- 如何安全是你的登錄過程中被黑客攻擊?
- 來自入侵者的服務器和服務器數據安全嗎?
- 您是否使用適當的HTTPS傳輸和服務器證書來保護正在傳輸的Cookie。
- 最終用戶的計算機是否安全,以便cookies不會從其中被盜取,然後在模擬器過期前使用它們?
- 您是否在登錄Cookie上使用了適當的過期日期,以減少其他人使用受損cookie的機會?
登錄系統本身往往是一個薄弱環節。如果你不需要強大的憑證,或者你的用戶沒有保護他們的憑證,那麼顯然其他人可以進入,但這與會話安全性無關。
如果你的服務器對黑客來說不安全,那麼人們可以插入或者攔截cookie,或者甚至做更糟糕的事情來破壞服務器或會話。
如果您沒有使用帶有所有適當保護措施的HTTP,那麼cookie可能會在傳輸過程中被竊取(特別是通過非安全WiFi),被盜的cookie可用於冒充用戶並訪問其數據或執行操作該用戶被允許執行。
如果最終用戶的計算機本身不安全,那麼某人可能會在物理上使用該計算機,或者可能能夠竊取在模擬器過期之前可以使用的cookie。
如果上述所有事情都做得很好,快速會話是相當安全的,他們使用相同類型的基於cookie的會話機制,谷歌,臉譜,富國銀行,A和B,等...使用爲他們的登錄會話。
那麼是什麼我不知道,如果是多個用戶使用的是後端在 的同時,第一,不會它曾經發生的node.js將混合 東西?
node.js本身不會混淆。您的node.js代碼必須確保它從不混合,因爲可能同時發生多個請求。但是,每個請求都有自己的req
和res
對象,只要您只通過req
對象訪問會話,並且不將會話數據放入可能同時運行的其他請求可訪問的變量中,那麼它將永遠不要混淆。所以,這是你的代碼不要做一些導致併發問題的事情。 node.js本身和Express會話沒有自己的併發問題。在這方面他們是安全的。
和第二,是這個方法欺騙性或劈證明
參見上面的討論。
令人驚歎的評論和解釋,非常感謝。我將把我的代碼放在這個信息上,並且保證服務器本身的安全。 HTTPS流量當然是保護一切的必要條件 –