一直搞不懂 session 和 cookie。
假如我用这样的方法判断用户的登录状态:
- 使用 express-session 中间件处理 session
- session 存储在服务器的 Mongodb 上
- 当用户登录成功时, req.session.user = user //user 为从数据库读取的用户信息。
- 当用户访问网站中的任意一个页面时,判断 req.session.user 是否存在。以此来判断用户是否已登录。当 req.session.user 存在时,
req.session.cookie.expires = new Date(Date.now()+1000*60*30);
req.session.cookie.maxAge = 1000*60*30
- 当用户退出登录时, req.session.destroy()
这样是否存在严重的安全问题?从安全方面来看,是否还可以进一步加强安全?对这方面不太了解,如果问题很低级还请多多谅解。
假如我用这样的方法判断用户的登录状态:
- 使用 express-session 中间件处理 session
- session 存储在服务器的 Mongodb 上
- 当用户登录成功时, req.session.user = user //user 为从数据库读取的用户信息。
- 当用户访问网站中的任意一个页面时,判断 req.session.user 是否存在。以此来判断用户是否已登录。当 req.session.user 存在时,
req.session.cookie.expires = new Date(Date.now()+1000*60*30);
req.session.cookie.maxAge = 1000*60*30
- 当用户退出登录时, req.session.destroy()
这样是否存在严重的安全问题?从安全方面来看,是否还可以进一步加强安全?对这方面不太了解,如果问题很低级还请多多谅解。
1
Select Language