Programming版 - 有了web backend session management, 还需要frontend session management吗? |
|
|
|
s*****w 发帖数: 1527 | 1 我们的结构是
react -> node.js -> 3rd party authentication service
node web service下面downstream services都是用同样的3rd party authentication
service。
这种authentication都有一个timeout, 比如2小时。
以往我用node.js做session management, 把timeout设成1.5小时。
(想法是如果node call other downstream service, 永远不会hit authentication
timeout。不知道对不对?)
如果过了1.5小时,frontend过来的request都会redirect to /login,然后用户必须重
新登陆。
现在学react, react也有session management,也有timeout。
我的问题是,如果web backend管理session timeout, 还要fronend session timeout
吗? | h**********c 发帖数: 4120 | 2 troy hunt好像说过never trust frontend
那么也就是说前端管理也必须,
我理解是比如session hijacking, 可以劫持后攻击服务器
也可以冒充服务器,攻击浏览器用户端
具体这些东西都很难重复,前端后端都拼命折腾,教学用的例题出来就没法重复,补丁
打上了。 | s*****w 发帖数: 1527 | 3 多谢!
【在 h**********c 的大作中提到】 : troy hunt好像说过never trust frontend : 那么也就是说前端管理也必须, : 我理解是比如session hijacking, 可以劫持后攻击服务器 : 也可以冒充服务器,攻击浏览器用户端 : 具体这些东西都很难重复,前端后端都拼命折腾,教学用的例题出来就没法重复,补丁 : 打上了。
| f******2 发帖数: 2455 | 4 要什么自行车呀?
这年头还“never trust frontend”,还数钱?
: 多谢!
【在 s*****w 的大作中提到】 : 多谢!
|
|
|
|
|