我已经为我的nodejs app创建了一个简单的用户身份验证,它会使用已发布的用户名和密码,并将这些与数据库进行比较(当然是加密的)。如果它似乎与服务器匹配,则生成一个要保存在数据库中的令牌(IP也会被保存)并将其发回。客户端将令牌存储在cookie中,并且对于要求用户进行身份验证的每个操作,客户端将令牌发送到服务器,该服务器查看它是否存在于数据库中并且IP匹配,否则您必须再次登录。
我一遍又一遍地读到,如果你不知道自己在做什么以及应该使用现有的身份验证系统,就不应该创建自己的身份验证系统。但是我的小系统,它是否足够好还是还有其他我应该考虑的东西?我当然是在SSL上运行它。