当前在线人数15867
首页 - 分类讨论区 - 电脑网络 - 葵花宝典版 - 同主题阅读文章

此篇文章共收到打赏
0

  • 10
  • 20
  • 50
  • 100
您目前伪币余额:0
未名交友
[更多]
[更多]
有了web backend session management, 还需要frontend session
[版面:葵花宝典][首篇作者:somehow] , 2021年10月19日20:07:12 ,355次阅读,4次回复
来APP回复,赚取更多伪币 关注本站公众号:
[分页:1 ]
somehow
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 1 ]

发信人: somehow (一宁@平安是福), 信区: Programming
标  题: 有了web backend session management, 还需要frontend session management吗?
发信站: BBS 未名空间站 (Tue Oct 19 20:07:12 2021, 美东)

我们的结构是
react -> node.js -> 3rd party authentication service

node web service下面downstream services都是用同样的3rd party authentication
service。


这种authentication都有一个timeout, 比如2小时。
以往我用node.js做session management, 把timeout设成1.5小时。
(想法是如果node call other downstream service, 永远不会hit authentication
timeout。不知道对不对?)

如果过了1.5小时,frontend过来的request都会redirect to /login,然后用户必须重
新登陆。

现在学react, react也有session management,也有timeout。
我的问题是,如果web backend管理session timeout, 还要fronend session timeout
吗?


--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 100.]

 
heteroclinic
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 2 ]

发信人: heteroclinic (asymptotically stable), 信区: Programming
标  题: Re: 有了web backend session management, 还需要frontend session
发信站: BBS 未名空间站 (Thu Oct 21 00:59:04 2021, 美东)

troy hunt好像说过never trust frontend

那么也就是说前端管理也必须,

我理解是比如session hijacking, 可以劫持后攻击服务器
也可以冒充服务器,攻击浏览器用户端

具体这些东西都很难重复,前端后端都拼命折腾,教学用的例题出来就没法重复,补丁
打上了。


--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 2600:8802:6705:]

 
somehow
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 3 ]

发信人: somehow (一宁@平安是福), 信区: Programming
标  题: Re: 有了web backend session management, 还需要frontend ses
发信站: BBS 未名空间站 (Thu Oct 21 22:29:13 2021, 美东)

多谢!


【 在 heteroclinic (asymptotically stable) 的大作中提到: 】
: troy hunt好像说过never trust frontend
: 那么也就是说前端管理也必须,
: 我理解是比如session hijacking, 可以劫持后攻击服务器
: 也可以冒充服务器,攻击浏览器用户端
: 具体这些东西都很难重复,前端后端都拼命折腾,教学用的例题出来就没法重复,补丁
: 打上了。



--
※ 来源:·WWW 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 100.]

 
fangtuo2
进入未名形象秀
我的博客
[回复] [回信给作者] [本篇全文] [本讨论区] [修改] [删除] [转寄] [转贴] [收藏] [举报] [ 4 ]

发信人: fangtuo2 (方鸵), 信区: Programming
标  题: Re: 有了web backend session management, 还需要fron
发信站: BBS 未名空间站 (Sun Oct 24 03:27:35 2021, 美东)

要什么自行车呀?

这年头还“never trust frontend”,还数钱?


【 在 somehow(一宁@平安是福) 的大作中提到: 】
<br>: 多谢!
<br>
--
※ 来源:· 未名空间站 网址:mitbbs.com 移动:在应用商店搜索未名空间·[FROM: 2601:641:8000:1]

[分页:1 ]
[快速返回] [ 进入葵花宝典讨论区] [返回顶部]
回复文章
标题:
内 容:

未名交友
将您的链接放在这儿

友情链接


 

Site Map - Contact Us - Terms and Conditions - Privacy Policy

版权所有,未名空间(mitbbs.com),since 1996