Безопасно ли хранить данные пользователя в req.user и req.passport? Легко ли это доступно и доступно для третьих сторон в браузере?NODE Passport HTTP REQUEST
Я использую req.user для проверки по ID, если запись mongoose принадлежит пользователю из req.user. Меня беспокоит, что если req.user и req.passport доступны из браузера, тогда легко манипулировать POST-запросом и пропускать мои проверки.
С уважением, AA
Предполагая, что вы используете паспорт с курьерским, то паспорт не предоставляет какой-либо информации пользователя в браузере.
Как обычно это работает, когда клиент сначала связывается с вашим сервером, в файл cookie будет помещен уникальный зашифрованный идентификатор сессии, и это все, что может видеть браузер. Этот идентификатор сеанса является ключом к серверному хранилищу, который обеспечивает доступ к серверной информации пользователя. Ни одна из этих сведений не доступна на стороне браузера, если только сервер явно не делает некоторые из этих данных доступными, помещая их в веб-страницы или подвергая конечные точки запросу.
Благодарим вас за ответ. Насколько я понимаю, только идентификатор сеанса видится в браузере и сохраняется в cookie. Поэтому, даже если я вижу идентификатор пользователя и имя пользователя в req.passport и req.user, это означает, что он хранится только на стороне сервера? – Tomek
@Tomek - Да, это правильно. – jfriend00
Может ли кто-нибудь изменить данные req.passport и req.user перед отправкой запроса на мой сайт? Например, изменение идентификатора пользователя? – Tomek