Блог

Я использую экспресс-сеансы, файлы cookie и React для создания системы входа в систему. В настоящее время, как только пользователь вошел в систему, ему разрешено отправлять запросы на определенные маршруты, но если это не так, им не разрешено.

Однако мой вопрос заключается в том, где я должен хранить имя пользователя пользователя. Может ли его хранение в localstorage вызвать проблемы с безопасностью? Или это безопасный способ сохранить что-то вроде имени пользователя?

Причина, по которой я не сохраняю ее в файле cookie, заключается в том, что файл cookie является HttpOnly . Это хорошая идея? Все, что я сохраняю в файле cookie, — это имя пользователя пользователя, поэтому я не уверен, что я переусердствовал с безопасностью, и я могу просто получить доступ к имени пользователя пользователя из моего интерфейса, если файл cookie не является HttpOnly.

Спасибо!

Если вы также используете passport.js , после успешного входа в систему вы можете заставить серверную часть отправить ответ, содержащий соответствующую информацию о пользователе. (но не конфиденциальная информация, такая как пароли)

Я не вижу проблем с сохранением имен пользователей в файлах cookie. В любом случае он отображается в конце.

С точки зрения безопасности всегда есть компромисс.

Итак, в конце концов, это зависит от того, что для вас приемлемо и безопасно.