我正在寻找使用护照本地策略时的最佳实践的一些信息。我在本地策略示例中使用了一个authToken,用于在github上找到的登录持久性。与同事交谈时,他们提出了一个问题:如何将此令牌存储在会话cookie中,比存储密码更安全,因为它本质上就是您在服务器上的身份验证身份。那么我如何回答这个问题呢?这是一个绿色的问题,我承认没有完全理解整个生命周期。那么如何将这个安全解决方案与bccrypt和mongo进行整合,就像这个例子一样。如果仅仅是一个例子,并不一定意味着要展示一个强大的解决方案,那么为了保证我们的用户和我们的应用程序安全,有哪些最佳实践?使用Passport持久会话安全时,是否是authToken?
https://github.com/jaredhanson/passport-local/tree/master/examples/express3-mongoose-rememberme
我已经把我个人在一个要点中使用的例子: https://gist.github.com/Illniyar/5432646 也许它会帮助你,但它有点混乱。还没有护照。 – 2013-04-22 05:53:11