nodeclub 安全问题
发布于 3年前 作者 philsong 1649 次浏览

// private function gen_session(user,res) { var auth_token = encrypt(user._id + ‘\t’+user.name + ‘\t’ + user.pass +’\t’ + user.email, config.session_secret); res.cookie(config.auth_cookie_name, auth_token, {path: '/’,maxAge: 10006060247}); //cookie 有效期1周
}

用户密码存在cookie中,如果用户知道session_secret,很容易搞到密钥

5 回复
  1. session_secret是很保密的。
  2. 我认为只用把user.name加密下就可以用作token了,加不加密码都一样……

加密码是为了改密码后使原有的browser cookie失效。。

@philsong o…明白了,ths,又学到一招……

@philsong wow。。。原来如此

目前的情况应该不会有什么大问题

回到顶部