2. 질의 응답
  3. NODE Passport HTTP 요청

NODE Passport HTTP 요청

2016-12-17 1 views
0

사용자의 데이터를 req.user 및 req.passport에 보관하는 것이 안전합니까? 브라우저에서 제 3 자에게 쉽게 액세스하고 읽을 수 있습니까?NODE Passport HTTP 요청

mongoose 항목이 req.user의 사용자에 속하는지 확인하려면 req.user를 사용하고 있습니다. Req.user 및 req.passport가 브라우저에서 액세스 할 수 있으면 POST 요청을 처리하고 유효성 검사를 건너 뛰기 쉽습니다.

감사합니다, AA

출처

2016-12-17 Tomek

답변

0

당신이 Express와 함께 여권을 사용하는 가정하면, 다음 여권 브라우저에 사용자 정보를 사용할 수 있도록하지 않습니다.

정상적으로 작동하는 방식은 클라이언트가 처음 서버에 접속하면 고유 한 암호화 된 세션 ID가 쿠키에 저장되고 모든 브라우저에서 볼 수 있다는 것입니다. sessionID는 사용자 세션 정보에 대한 서버 측 액세스를 제공하는 서버 측 저장소에 대한 키입니다. 서버가 명시 적으로 웹 페이지에 넣거나 끝점을 쿼리하여 해당 데이터를 쿼리하여 데이터의 일부를 사용할 수있게하지 않는 한 해당 정보는 브라우저 측면에서 사용할 수 없습니다.

출처

2016-12-17 17:33:34 jfriend00

+0

답장을 보내 주셔서 감사합니다. 세션 ID 만 브라우저에 표시되고 쿠키에 저장된다는 것을 알고 있습니다. 따라서 req.passport와 req.user에서 사용자 ID와 사용자 이름이 표시 되더라도 이는 서버 측에만 저장된다는 것을 의미합니까? – Tomek

+0

@Tomek - 예, 맞습니다. – jfriend00

+0

내 웹 사이트에 요청을 게시하기 전에 누구든지 req.passport 및 req.user 데이터를 변경할 수 있습니까? 예를 들어 사용자 ID를 변경 하시겠습니까? – Tomek

관련 문제

 관련 문제