请教 Express 中的 session 和 cookie 的安全问题

一直搞不懂 session 和 cookie。

假如我用这样的方法判断用户的登录状态：

- 使用 express-session 中间件处理 session

- session 存储在服务器的 Mongodb 上

- 当用户登录成功时， req.session.user = user //user 为从数据库读取的用户信息。

- 当用户访问网站中的任意一个页面时，判断 req.session.user 是否存在。以此来判断用户是否已登录。当 req.session.user 存在时，
req.session.cookie.expires = new Date(Date.now()+1000*60*30);
req.session.cookie.maxAge = 1000*60*30

- 当用户退出登录时， req.session.destroy()

这样是否存在严重的安全问题？从安全方面来看，是否还可以进一步加强安全？对这方面不太了解，如果问题很低级还请多多谅解。

ss098

2014-07-26 23:05:00 +08:00

Session 并不是最佳的验证用户的方案，性能偏低（虽然小应用无所谓啦），我使用的方法是

在 Cookie 中将一个数组变成 JSON 加密存储到 Cookie 中，数组中存一些常用的资料，比如用户名，uid，email 等等

在访问每一个页面的时候解密这个 Cookie，得到每一个页面都需要用到的资料，避免了一次数据库查询。

ityao

2014-07-27 08:02:48 +08:00

@ss098 多终端更新同一段需要在session中存储的消息呢？只依赖session信息就不能同步了, 我的做法是服务器端session只存储比较固定和稳定的数据，例如用户id

vfasky

2014-07-27 08:52:31 +08:00

@ss098 这方案非常危险！加密的结果存在本地，就存在破解的可能性，且因为结果在本地，你不能限制破解次数。

只需成功解密一个cookie，理论上，是可以伪造任何数据！到时只能呵呵了。

这种方案是得不偿失的！

ss098

2014-07-27 08:53:55 +08:00

@jarlyyn 抱歉我没有在生产环境中用过 NodeJS 对相关的类库不是很了解，是从 PHP 的思路出发的
@ityao 使用 session 本身是没什么问题的，所以这样也是可以的

vfasky

2014-07-27 09:03:45 +08:00

@ss098 呵呵，那是不是会存在这种情况：
一用户刚刚登陆成功，刚好遇到你的更新密匙时间，是不是又要重登一次？

如果上面的情况成立，那换成支付场景会怎样？

dong3580

2014-07-27 10:07:57 +08:00

我都是本地加密cookie，和服务器session某个字段对比，复杂的本地加密字段基本在短时间内破解不出来，所以只要能让他在一个月或者一两周破不出来，就已经达到了加密的目的了。

serenader

2014-07-29 19:34:07 +08:00

@rekey 又按错按钮了。。。

没有，只是在 req.session 里面操作。

其实我就是不懂这个 req.session 与 req.cookie 。

话说，你觉得这两个应该怎样设置比较合理呢？

pp3182429

2014-07-30 16:59:26 +08:00

最近刚做了个把session存在redis里的middleware，求拍砖。。

https://github.com/albin3/Node_Express_Redis_Session

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/124645

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.