我想知道这有多安全。我现在没有完整的代码,但我会尝试用文字来解释它。
单击登录按钮时,使用 socket.io,用户名和密码将发送到 Node Js 服务器。一旦服务器收到用户名和密码,它就会检查一个文本文件,看是否有匹配的用户名和密码。如果有,用户数据将被发回。
有什么方法可以让某人在不直接访问服务器的情况下访问文本文件?这通常是安全的吗?
这肯定会因为不是编码问题而被关闭,但无论如何我都会回答。
所以你打算在每个请求中包含用户名和密码?这是很多重复的身份验证,请改用 JWT。使用众所周知的库进行身份验证(如 auth0)。如果你想自己制作 mAke,请确保通过 https 发送它。
有人可以阅读文本文件吗?
嗯
不存储密码,存储加盐哈希。这是不可逆的,所以即使文本文件被盗,它也没有密码
理论上没有人能拿到文件。在实践中,理论与实践之间存在着巨大的差距。您听说过的所有密码泄露都是“坏人”访问文件 /db,而没人认为可以访问该文件