Node.js Passport的身份验证设计安全吗？_Node.js_Security_Authentication_Https_Passport.js

Node.js Passport的身份验证设计安全吗？

node.js security authentication https

Node.js Passport的身份验证设计安全吗？,node.js,security,authentication,https,passport.js,Node.js,Security,Authentication,Https,Passport.js,一般来说，我不熟悉web开发中的节点、Passport和身份验证我跟着我希望一位经验丰富的开发人员能够对那里教授的设计的安全性发表评论更具体地说 1）当作者发布发送凭证的帖子时，他不应该通过HTTPS吗？什么时候有必要使用HTTPS以便其他人不会嗅探您的信息？如何使用HTTPS将设计更改为POST 2）我无法理解会话是如何被跟踪的。passport是否对所有会话进行了抽象？如果是，他们是否在使用cookies？cookies是纯文本的吗？用户是否在cookie中获取回令牌？isLogg

一般来说，我不熟悉web开发中的节点、Passport和身份验证

我跟着

我希望一位经验丰富的开发人员能够对那里教授的设计的安全性发表评论

更具体地说

1）当作者发布发送凭证的帖子时，他不应该通过HTTPS吗？什么时候有必要使用HTTPS以便其他人不会嗅探您的信息？如何使用HTTPS将设计更改为POST

2）我无法理解会话是如何被跟踪的。passport是否对所有会话进行了抽象？如果是，他们是否在使用cookies？cookies是纯文本的吗？用户是否在cookie中获取回令牌？isLoggedIn（）就是这样工作的吗

3）他是否免费获得内容注入的保护？我没有看到任何代码试图逃离危险人物或任何东西

无论如何，这种设计有多安全？

你想得太多了，如果使用SSL，那么它被认为是应用程序和身份验证提供商之间的安全请求。会话就像经典会话，cookie中的id是最常见的。。你说的“免费内容注入保护”是什么意思？身份验证提供程序处理无效的请求和内容。。使用twitter之类的工具对登录进行清理和验证不会有什么不同。另一方面，如果您的应用程序被破坏并且运行了危险的代码，那么有人可以通过几个http请求实现几乎任何事情，但这不是这里的问题。我不认为在上面的教程中登录是通过SSL实现的。例如，通过内容注入，我指的是在凭据中添加危险的脚本。在您在上面的评论中提到的任何情况下，身份验证提供程序都将返回失败重定向或可能的错误，它只是不允许任何操作并失败。您不需要担心XSS。