Я пытаюсь найти безопасный способ разрешить вход в систему пользователям моего приложения Node.js. (N)
загружать / удалять файлы только внутри своей папки на PHP (P)
сервер в другом домене.
Может ли какой-нибудь эксперт сказать мне, является ли следующий подход достаточно безопасным?
—
П: Расшифруйте токен с известным секретом и проверьте, находится ли он в таблице базы данных действительных идентификаторов пользователя.
Если да, разрешить операцию записи / удаления внутри папки «userID»
Если нет, отправьте сообщение об ошибке в приложение Node
Я думаю, что это сработает, потому что секрет, который мы используем для засолки, известен только серверу Node и PHP-серверу, и все, что отправляется по проводам, будет бесполезно для потенциального злоумышленника.
Был бы признателен, если кто-то может подтвердить или указать, что мне не хватает.
Когда пользователь выходит из приложения NodeJ, ваш Php-сервер должен удалить токен пользователя из базы данных.
Других решений пока нет …