我目前正在使用用户身份验证和一些要存储的数据构建一个简单的Express API。现在,在生产环境中,我正在使用护照本地身份验证和cookie会话来对用户进行身份验证,但是我听说在生产环境中,这种情况确实不太好。
为什么其他身份验证方法更好,哪些身份验证可以保存,稳定和可扩展?还有什么反对cookie会话?使用connect-mongo进行快速会话会更好,为什么?
答案 0 :(得分:0)
我来看看塔尼亚·拉西亚(Tania Rascia)的this article。它涵盖了将Express与JSONWebTokens(JWT)结合使用以及将OAuth与Cookies结合使用。这是一种安全的方法,并且都可以在同一台服务器上运行(后端和前端都通过express服务)。