程序员经验分享-hwhale

使express.js 中单个用户的所有会话失效

2023-12-24

出于安全原因,我们希望能够使用户的所有活动会话无效,例如,如果他们更改密码,或者只是希望能够强制注销其他会话。我们使用 Node.js、Express、express-sessions 和 Redis 会话存储。在我们的应用程序中,我们有(CoffeeScript):

app.use express.session
    cookie:
        maxAge: 5 * 24 * 60 * 60 * 1000 # 5 days in ms
    store: new RedisStore(client: rclient)
    key: "secret-key"

Redis 存储的工作原理是将唯一的会话 ID 映射到会话中存储的任何数据。例如:

# In an HTTP request
req.session.user = { _id: "user-id" }

在 Redis 中变为:

> get "sess:<session-id>"
'{ "user": { "_id": "user-id" } } '

我们需要一种方法来跟踪与每个用户 ID 相对应的所有会话,以便在我们想要使用户的会话无效时可以从 Redis 中删除这些会话。以下注意事项适用:

  1. Redis 中的会话的 TTL 等于该会话的 maxAge 曲奇饼。每个会话的跟踪机制也应该过期 在此时间之后以避免数据过时。
  2. 并非所有会话都必须与用户关联。有些仅用于跟踪匿名会话详细信息。

在 Redis 中添加另一个反向查找键的简单方法(例如将 user_id 映射到用户的一组会话 ID)在涉及警告 (1) 时会失败。

这感觉就像其他使用 Express 的网站一定遇到过的问题,因为它是一种非常常见的安全模式。有人对如何跟踪用户会话然后根据需要使它们无效有任何建议吗?

谢谢你!


对于类似的情况,我所做的是使用自定义会话 ID,其中在密钥名称中包含用户 ID。也许现在有一种更简单的方法可以做到这一点,但这基本上是我设置自定义会话 ID 所必须做的:

main.js:

var uid = require('uid'),
    redis = require('redis'),
    session = require('express-session'),
    RedisStore = require('connect-redis')(session),
    Session = session.Session,
    Cookie = session.Cookie;

var utils = require('./utils');

var COOKIE_SECRET = 'somethingrandom',
    COOKIE_KEY = 'mycustomsession';

var redisClient = redis.createClient(),
    redisStore = new RedisStore({
      client: redisClient,
      ttl: 24 * 60 * 60, // 1 day session expiration
      prefix: 'sess:'
    });

// ... then inside the login route after user was successfully authenticated ...
req.sessionStore = redisStore;
req.sessionID = 'sess:' + user.id + ':' + uid(24);
req.session = new Session(req);
req.session.cookie = new Cookie({});
req.session.user = user;
utils.createSession(req, res, COOKIE_KEY, COOKIE_SECRET);

utils.js:

var onHeaders = require('on-headers'),
    signature = require('cookie-signature');
exports.createSession = function(req, res, name, secret) {
  var trustProxy = true;
  // ripped from express-session
  onHeaders(res, function() {
    if (!req.session)
      return;

    var cookie = req.session.cookie
      , proto = (req.headers['x-forwarded-proto'] || '').split(',')[0].toLowerCase().trim()
      , tls = req.connection.encrypted || (trustProxy && 'https' == proto);

    // only send secure cookies via https
    if (cookie.secure && !tls)
      return;

    var val = 's:' + signature.sign(req.sessionID, secret);
    res.cookie(name, val, cookie.data);
  });

  // proxy end() to commit the session
  var end = res.end;
  res.end = function(data, encoding) {
    res.end = end;
    if (!req.session) return res.end(data, encoding);
    req.session.resetMaxAge();
    req.session.save(function(err) {
      if (err) console.error(err.stack);
      res.end(data, encoding);
    });
  };
};
本文内容由网友自发贡献,版权归原作者所有,本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容,请联系:hwhale#tublm.com(使用前将#替换为@)

nodejs

Session

Express

使express.js 中单个用户的所有会话失效 的相关文章

随机推荐

  • 检测数字列表中的峰值并记录它们的位置

    我正在尝试创建一些代码来返回数值数组的 峰值 或局部最大值 的位置和值 例如 列表arr 0 1 2 5 1 0 在 位置有一个峰值3值为5 since arr 3 equals 5 数组的第一个和最后一个元素不会被视为峰值 在数学函数的上

  • 传单地图的大小不适合目标元素的尺寸

    我很难让传单地图在我的应用程序的 div 内正确呈现 可能值得一提的是 我正在使用 AngularJS Angular Material 具有基于 Flex 的布局 和 ui router 因此 div 所在的页面是用户调用操作导航到该页面

  • 无法在 Windows 上的 Python 3.11 中安装 PyQt6 工具

    我安装了Python 3 11在我的 Windows 11 计算机上预发布 https www python org downloads release python 3110a7 https www python org download

  • 禁用弹出窗口中的浏览器地址栏

    我有以下带有 Javascript 的 HTML a href Hide Address Bar a 它在 IE 中运行良好 但在 FireFox 3 及更高版本中运行不佳 我想在弹出窗口出现时禁用 位置 栏 问题不是你的语法错误 问题是安

  • R - 如何通过嵌套 tibbles + pwalk(rmarkdown::render) 生成参数化报告

    我正在尝试根据学生数据生成评估报告 我的想法是创建一个 RDS 嵌套 tibble 来传递给rmarkdown render using purrr pwalk 我对 purrr 及其它还比较陌生map函数族 这是有效的代码部分 尝试一下

  • 如何在 haskell 中为这棵树实现 monoid 接口?

    请原谅这些术语 我的思想仍然弯曲 那个树 data Ftree a Empty Leaf a Branch Ftree a Ftree a deriving Show 我有几个问题 If Ftree不可能Empty 它不再是一个Monoid

  • Azure Web api VS 移动服务

    使用时主要区别是什么 Azure Web API 技术上使用 Azure 网站模块 https www windowsazure com en us develop net tutorials rest service using web

  • 从上方查看城市坐标

    作为一个小项目 我一直在考虑创建一个类似 Google 地球的动画 我想在旋转地球以各个城市为中心的同时播放时间线 目前 我可以使用默认视图设置来渲染地球仪 其中城市由点表示 当我尝试使用俯视城市 例如丹佛 的视图向量来调整相机方向时 我最

  • 使用 C# 从 NVarchar(Max) 列流式传输数据

    我想将一些文件的内容放入数据库中以供单独的进程读取 这是一个两步的事情 因为文件将上传到 java 服务器 然后由定期运行的单独的 c 应用程序进行处理 我本来打算使用nvarchar Max 列来表示数据 但我不知道如何以合理的方式从此类

  • MySQL 按小时分组

    我正在尝试按小时使用情况从历史记录表中获取报告 history表是 CREATE TABLE IF NOT EXISTS history history id int 11 unsigned NOT NULL AUTO INCREMENT

  • 错误:由于“_”未定义而无法实例化模块 restangular

    当第一次在工作网站上使用 Restangular 时 我收到以下 JavaScript 错误 由于 未定义 无法实例化模块 restangular 我缺少什么 未定义 在 Restangular 模块中 是什么意思 这是一个简单的疏忽 下划

  • mosquitto 中的地址已在使用错误

    我已经在我的 ubuntu 机器上安装了 mosquitto 服务器和客户端软件包 当我运行命令 mosquitto 来运行 mosquitto 服务器时 我收到错误 错误 地址已在使用中 为什么我会收到此错误 我该如何解决这个问题 我遇到

  • Qt 中的内存管理

    我对 Qt 内存管理有一点疑问 让我们以Listview为例 在listview中我们通过动态分配内存来添加每个项目 那么在这种情况下我们是否需要手动删除所有 新 的项目 E g Qlistview list new Qlistview Q

  • 纱线全局命令不起作用

    我正在使用 Yarn v0 16 1 如果我理解正确的话 根据文档 https yarnpkg com en docs cli global yarn global add

  • sleep 0 在 shell 脚本中做什么?如果在 ansible SSH 配置中使用它在每个命令后附加它会做什么?

    什么是sleep 0在 shell 脚本中做什么 我阅读了 sleep 的手册页 它说 延迟指定的时间 参数 NUMBER 以秒为单位指定这个时间 默认情况下 但我看到 ansible 使用sh c echo ec2 user sleep

  • VSCODE 中的 YAML 文件格式

    我刚刚开始使用 VSCODE 每次在现有 YML 文件中粘贴 YAML 代码时都会遇到麻烦 基本上 编辑器似乎会自动格式化文档 这样做会弄乱文档中的重要空间 这会导致 Azure Devops 中的构建中断 尽管 VS code 可以很好地

  • 发送在我的 NDIS 修改过滤器驱动程序中无法正常工作

    我正在尝试使用 NDIS 来实现数据包修改过滤器 我使用了丢弃数据包并从克隆 NBL 发起发送 接收的方法 msdn 上的文档说这是允许的 https learn microsoft com en us windows hardware d

  • Leaflet/shiny:无法绘制反应多边形

    看完了Leaflet for R 页面上的闪亮集成示例 https rstudio github io leaflet shiny html 我在子集化和显示一些多边形以在我闪亮的应用程序中显示时遇到问题 目前 我正在得到一个带有侧边栏的应

  • phantomjs 没有关闭并留下孤立进程

    在 PhantomJS 1 9 2 ubuntu 12 LTS 和 Ghostdirver 1 04 以及 selenium 2 35 上 测试后我得到了悬空的 phantomjs 进程 有人知道如何解决这个问题的好方法吗 这是一个演示奇怪

  • 使express.js 中单个用户的所有会话失效

    出于安全原因 我们希望能够使用户的所有活动会话无效 例如 如果他们更改密码 或者只是希望能够强制注销其他会话 我们使用 Node js Express express sessions 和 Redis 会话存储 在我们的应用程序中 我们有

热门标签