我正在尋找使用護照本地策略時的最佳實踐的一些信息。我在本地策略示例中使用了一個authToken,用於在github上找到的登錄持久性。與同事交談時,他們提出了一個問題:如何將此令牌存儲在會話cookie中,比存儲密碼更安全,因爲它本質上就是您在服務器上的身份驗證身份。那麼我如何回答這個問題呢?這是一個綠色的問題,我承認沒有完全理解整個生命週期。那麼如何將這個安全解決方案與bccrypt和mongo進行整合,就像這個例子一樣。如果僅僅是一個例子,並不一定意味着要展示一個強大的解決方案,那麼爲了保證我們的用戶和我們的應用程序安全,有哪些最佳實踐?使用Passport持久會話安全時,是否是authToken?
https://github.com/jaredhanson/passport-local/tree/master/examples/express3-mongoose-rememberme
我已經把我個人在一個要點中使用的例子: https://gist.github.com/Illniyar/5432646 也許它會幫助你,但它有點混亂。還沒有護照。 – 2013-04-22 05:53:11