在 nodejs 上管理用户身份验证和会话的最佳方式是什么?
What's the best way of managing user authentication and sessions on nodejs?
我通常使用 JWT 令牌,但我知道这不太安全,因为当您将令牌存储在 LocalStorage 上时,您很容易受到攻击。
良好会话和授权管理的最佳和最安全的方法是什么?
普遍接受的标准是将 JWT 存储在 httpOnly cookie 中。所以 JWT/Cookie 只会被发送到 HTTP 服务器,并且不能在客户端读取或写入。为了使其更安全,您可以设置 SameSite=strict 以消除跨站点请求伪造 (CSRF),除非您需要 JWT 从不同的域获取信息。
可能有更安全的方法来做到这一点?但我相信这对于普通网站来说已经足够了。
我通常使用 JWT 令牌,但我知道这不太安全,因为当您将令牌存储在 LocalStorage 上时,您很容易受到攻击。
良好会话和授权管理的最佳和最安全的方法是什么?
普遍接受的标准是将 JWT 存储在 httpOnly cookie 中。所以 JWT/Cookie 只会被发送到 HTTP 服务器,并且不能在客户端读取或写入。为了使其更安全,您可以设置 SameSite=strict 以消除跨站点请求伪造 (CSRF),除非您需要 JWT 从不同的域获取信息。
可能有更安全的方法来做到这一点?但我相信这对于普通网站来说已经足够了。