请教 Express 中的 session 和 cookie 的安全问题 - V2EX

首页注册登录

V2EX = way to explore

V2EX 是一个关于分享和探索的地方

现在注册

已注册用户请登录

这是一个创建于 3755 天前的主题，其中的信息可能已经有所发展或是发生改变。

一直搞不懂 session 和 cookie。

假如我用这样的方法判断用户的登录状态：

- 使用 express-session 中间件处理 session

- session 存储在服务器的 Mongodb 上

- 当用户登录成功时， req.session.user = user //user 为从数据库读取的用户信息。

- 当用户访问网站中的任意一个页面时，判断 req.session.user 是否存在。以此来判断用户是否已登录。当 req.session.user 存在时，
req.session.cookie.expires = new Date(Date.now()+1000*60*30);
req.session.cookie.maxAge = 1000*60*30

- 当用户退出登录时， req.session.destroy()

这样是否存在严重的安全问题？从安全方面来看，是否还可以进一步加强安全？对这方面不太了解，如果问题很低级还请多多谅解。

15 条回复 • 2014-08-24 06:07:37 +08:00

1

ss098

2014-07-26 23:05:00 +08:00

Session 并不是最佳的验证用户的方案，性能偏低（虽然小应用无所谓啦），我使用的方法是

在 Cookie 中将一个数组变成 JSON 加密存储到 Cookie 中，数组中存一些常用的资料，比如用户名，uid，email 等等

在访问每一个页面的时候解密这个 Cookie，得到每一个页面都需要用到的资料，避免了一次数据库查询。

2

jarlyyn

2014-07-27 01:46:19 +08:00

@ss098
express有session in cookie吧……
个人感觉有些时候这个不是非常靠谱的做法

3

ityao

2014-07-27 08:02:48 +08:00

@ss098 多终端更新同一段需要在session中存储的消息呢？只依赖session信息就不能同步了, 我的做法是服务器端session只存储比较固定和稳定的数据，例如用户id

4

vfasky

2014-07-27 08:52:31 +08:00 via iPhone

@ss098 这方案非常危险！加密的结果存在本地，就存在破解的可能性，且因为结果在本地，你不能限制破解次数。

只需成功解密一个cookie，理论上，是可以伪造任何数据！到时只能呵呵了。

这种方案是得不偿失的！

5

ss098

2014-07-27 08:53:55 +08:00 via Android

@jarlyyn 抱歉我没有在生产环境中用过 NodeJS 对相关的类库不是很了解，是从 PHP 的思路出发的
@ityao 使用 session 本身是没什么问题的，所以这样也是可以的

6

ss098

2014-07-27 08:54:59 +08:00 via Android

@vfasky 我自己的生产环境对加密密匙做了每日随机更新

7

ss098

2014-07-27 08:57:56 +08:00 via Android

@vfasky 确实存在你所说的危险，每日更新密匙会导致 Cookie 失效并不适用于大多数生产环境

8

vfasky

2014-07-27 09:03:45 +08:00 via iPhone

@ss098 呵呵，那是不是会存在这种情况：
一用户刚刚登陆成功，刚好遇到你的更新密匙时间，是不是又要重登一次？

如果上面的情况成立，那换成支付场景会怎样？

9

vfasky

2014-07-27 09:07:08 +08:00 via iPhone

1

@ss098 握爪^_^

10

dong3580

2014-07-27 10:07:57 +08:00 via Android

我都是本地加密cookie，和服务器session某个字段对比，复杂的本地加密字段基本在短时间内破解不出来，所以只要能让他在一个月或者一两周破不出来，就已经达到了加密的目的了。

11

rekey

2014-07-29 19:08:17 +08:00

1

话说 LZ 不给 cookies 设置有效期，就直接每次访问都直接续期的么？

12

serenader

OP

2014-07-29 19:34:07 +08:00

@rekey 又按错按钮了。。。

没有，只是在 req.session 里面操作。

其实我就是不懂这个 req.session 与 req.cookie 。

话说，你觉得这两个应该怎样设置比较合理呢？

13

rekey

2014-07-30 10:25:00 +08:00

这个在我的角度真的只能你自己理解了。我觉得我知道但是我说不好。

14

pp3182429

2014-07-30 16:59:26 +08:00

最近刚做了个把session存在redis里的middleware，求拍砖。。

https://github.com/albin3/Node_Express_Redis_Session

15

rexren

2014-08-24 06:07:37 +08:00

@pp3182429 ```express-session``` 本身就支持用redis作为session store.. https://github.com/expressjs/session

关于 · 帮助文档 · 博客 · API · FAQ · 实用小工具 · 1690 人在线 最高记录 6679 ·

Select Language

创意工作者们的社区

World is powered by solitude

VERSION: 3.9.8.5 · 24ms · UTC 16:44 · PVG 00:44 · LAX 08:44 · JFK 11:44
Developed with CodeLauncher
♥ Do have faith in what you're doing.