Programming版 - 有了web backend session management, 还需要frontend session management吗? |
|---|
|
|
|
|
s*****w
发帖数: 1527 | 1 我们的结构是
react -> node.js -> 3rd party authentication service
node web service下面downstream services都是用同样的3rd party authentication
service。
这种authentication都有一个timeout, 比如2小时。
以往我用node.js做session management, 把timeout设成1.5小时。
(想法是如果node call other downstream service, 永远不会hit authentication
timeout。不知道对不对?)
如果过了1.5小时,frontend过来的request都会redirect to /login,然后用户必须重
新登陆。
现在学react, react也有session management,也有timeout。
我的问题是,如果web backend管理session timeout, 还要fronend session timeout
吗? | h**********c
发帖数: 4120 | 2 troy hunt好像说过never trust frontend
那么也就是说前端管理也必须,
我理解是比如session hijacking, 可以劫持后攻击服务器
也可以冒充服务器,攻击浏览器用户端
具体这些东西都很难重复,前端后端都拼命折腾,教学用的例题出来就没法重复,补丁
打上了。 | s*****w
发帖数: 1527 | 3 多谢!
【在 h**********c 的大作中提到】
: troy hunt好像说过never trust frontend
: 那么也就是说前端管理也必须,
: 我理解是比如session hijacking, 可以劫持后攻击服务器
: 也可以冒充服务器,攻击浏览器用户端
: 具体这些东西都很难重复,前端后端都拼命折腾,教学用的例题出来就没法重复,补丁
: 打上了。
| f******2
发帖数: 2455 | 4 要什么自行车呀?
这年头还“never trust frontend”,还数钱?
: 多谢!
【在 s*****w 的大作中提到】
: 多谢!
|
|
|
|
|
|
