我刚刚在https://expressjs.com/en/advanced/best-practice-security.html上阅读了有关ExpressjS安全最佳实践的文章。它提到快速会话程​​序包仅针对开发环境而不是生产环境而设计。那么,这意味着我不能使用快速会话在我的应用程序中实现身份验证和授权功能吗?如果在生产环境中使用它怎么办?有安全性问题还是什么?请帮忙解释。谢谢。

最佳答案

您误解了有关它的内容。


  express-session中间件将会话数据存储在服务器上;它
  仅将会话ID保存在cookie本身中,而不保存会话数据。通过
  默认情况下,它使用内存存储,并且不适用于
  生产环境。在生产中,您需要设置一个
  可扩展的会话存储;查看compatible session stores列表


这意味着您应该使用外部存储来使用会话(例如数据库或Redis等键值存储),以防止在应用重启或崩溃时丢失会话数据。

关于node.js - ExpressJS安全最佳实践(处理 session 和cookie),我们在Stack Overflow上找到一个类似的问题:https://stackoverflow.com/questions/48717546/

10-10 13:46