首頁(yè) 猿問 nodejs的cookie疑問

nodejs的cookie疑問

JavaScript

手掌心 2018-10-16 13:14:03

比如所有的用戶名都是唯一的，于是我把用戶名寫到cookie里去，然后根據(jù)cookie來(lái)識(shí)別用戶。首先我不知道這么做對(duì)不對(duì)。其次這么做肯定是不安全的。所以我想是不是應(yīng)該將用戶名先加密然后再存到cookie中，那么在node中加密解密cookie用啥實(shí)現(xiàn)呢？先謝過(guò)各位了。

查看完整描述

1 回答

慕村9548890

TA貢獻(xiàn)1884條經(jīng)驗(yàn) 獲得超4個(gè)贊

通常是使用cookie + session的組合，怎么生成session其實(shí)你可以不用自己寫，Github有現(xiàn)成的實(shí)現(xiàn)，比如expressjs/session

cookie里就存儲(chǔ)sessionId，這樣就不會(huì)從cookie里泄漏有用信息（包括可被解密的信息），比存儲(chǔ)用戶名來(lái)說(shuō)更為安全。
然后使用redis來(lái)存儲(chǔ)以sessionId為鍵，用戶信息為值的鍵值對(duì)。

都有現(xiàn)成的模塊，都不用自己寫

大致的代碼（koa框架，用到了兩個(gè)模塊koa-session和koa-redis）如下：

const session = require('koa-generic-session');const redisStore = require('koa-redis');
// 配置好sessionapp.use(session({  store: redisStore(),  // ttl: 3600000 * 24,
  // cookie: {
  //   path: '/',
  //   httpOnly: true,
  //   maxage: null,
  //   rewrite: true,
  //   signed: true,
  //   expires: null,
  // },}));//...// 登錄成功this.session.user = user;

反對(duì) 回復(fù) 2018-11-15