有了web backend session management, 还需要frontend session

我们的结构是
react -> node.js -> 3rd party authentication service

node web service下面downstream services都是用同样的3rd party authentication service。

这种authentication都有一个timeout, 比如2小时。
以往我用node.js做session management, 把timeout设成1.5小时。
（想法是如果node call other downstream service, 永远不会hit authentication
timeout。不知道对不对？）

如果过了1.5小时，frontend过来的request都会redirect to /login，然后用户必须重新登陆。

现在学react， react也有session management，也有timeout。
我的问题是，如果web backend管理session timeout, 还要fronend session timeout 吗？

troy hunt好像说过never trust frontend

那么也就是说前端管理也必须，

我理解是比如session hijacking, 可以劫持后攻击服务器
也可以冒充服务器，攻击浏览器用户端

具体这些东西都很难重复，前端后端都拼命折腾，教学用的例题出来就没法重复，补丁打上了。

多谢！

【 在 heteroclinic (asymptotically stable) 的大作中提到: 】
: troy hunt好像说过never trust frontend
: 那么也就是说前端管理也必须，
: 我理解是比如session hijacking, 可以劫持后攻击服务器
: 也可以冒充服务器，攻击浏览器用户端
: 具体这些东西都很难重复，前端后端都拼命折腾，教学用的例题出来就没法重复，补丁
: 打上了。

要什么自行车呀？

这年头还“never trust frontend”，还数钱？

【 在 somehow(一宁@平安是福) 的大作中提到: 】

: 多谢！