看帖神器
未名空间
追帖动态
头条新闻
每日新帖
最新热帖
新闻存档
热帖存档
文学城
虎扑论坛
未名空间
北美华人网
北美微论坛
看帖神器
登录
← 下载
《看帖神器》官方
iOS App
,体验轻松追帖。
有了web backend session management, 还需要frontend session
查看未名空间今日新帖
最新回复:2021年10月24日 0点27分 PT
共 (4) 楼
返回列表
订阅追帖
只看未读
更多选项
阅读全帖
只看图片
只看视频
查看原帖
s
somehow
2 年多
楼主 (未名空间)
我们的结构是
react -> node.js -> 3rd party authentication service
node web service下面downstream services都是用同样的3rd party authentication service。
这种authentication都有一个timeout, 比如2小时。
以往我用node.js做session management, 把timeout设成1.5小时。
(想法是如果node call other downstream service, 永远不会hit authentication
timeout。不知道对不对?)
如果过了1.5小时,frontend过来的request都会redirect to /login,然后用户必须重新登陆。
现在学react, react也有session management,也有timeout。
我的问题是,如果web backend管理session timeout, 还要fronend session timeout 吗?
h
heteroclinic
2 年多
2 楼
troy hunt好像说过never trust frontend
那么也就是说前端管理也必须,
我理解是比如session hijacking, 可以劫持后攻击服务器
也可以冒充服务器,攻击浏览器用户端
具体这些东西都很难重复,前端后端都拼命折腾,教学用的例题出来就没法重复,补丁打上了。
s
somehow
2 年多
3 楼
多谢!
【 在 heteroclinic (asymptotically stable) 的大作中提到: 】
: troy hunt好像说过never trust frontend
: 那么也就是说前端管理也必须,
: 我理解是比如session hijacking, 可以劫持后攻击服务器
: 也可以冒充服务器,攻击浏览器用户端
: 具体这些东西都很难重复,前端后端都拼命折腾,教学用的例题出来就没法重复,补丁
: 打上了。
f
fangtuo2
2 年多
4 楼
要什么自行车呀?
这年头还“never trust frontend”,还数钱?
【 在 somehow(一宁@平安是福) 的大作中提到: 】
: 多谢!
请输入帖子链接
收藏帖子
我们的结构是
react -> node.js -> 3rd party authentication service
node web service下面downstream services都是用同样的3rd party authentication service。
这种authentication都有一个timeout, 比如2小时。
以往我用node.js做session management, 把timeout设成1.5小时。
(想法是如果node call other downstream service, 永远不会hit authentication
timeout。不知道对不对?)
如果过了1.5小时,frontend过来的request都会redirect to /login,然后用户必须重新登陆。
现在学react, react也有session management,也有timeout。
我的问题是,如果web backend管理session timeout, 还要fronend session timeout 吗?
troy hunt好像说过never trust frontend
那么也就是说前端管理也必须,
我理解是比如session hijacking, 可以劫持后攻击服务器
也可以冒充服务器,攻击浏览器用户端
具体这些东西都很难重复,前端后端都拼命折腾,教学用的例题出来就没法重复,补丁打上了。
多谢!
【 在 heteroclinic (asymptotically stable) 的大作中提到: 】
: troy hunt好像说过never trust frontend
: 那么也就是说前端管理也必须,
: 我理解是比如session hijacking, 可以劫持后攻击服务器
: 也可以冒充服务器,攻击浏览器用户端
: 具体这些东西都很难重复,前端后端都拼命折腾,教学用的例题出来就没法重复,补丁
: 打上了。
要什么自行车呀?
这年头还“never trust frontend”,还数钱?
【 在 somehow(一宁@平安是福) 的大作中提到: 】
: 多谢!