authentication ב - express

מנצפך

מה מומלץ?
express-session?
passport?

ראיתי שיש גם cookie-session. אבל אני מבין שהוא שומר את נתוני הלוגין בצד לקוח, וגם פחות גמיש לעבודה.

מה אומרים?

יוסף בן שמעון

@מנצפך אמר בauthentication ב - express:

לפרספורט אין מערכת סשנים עצמית, הוא צריך מערכת שדואגת לשמור את הסשנים, ובשלב האימות צריך לשלוף את מזהה הסשן, אתה צריך גם express-session וגם passport

dovid

זה שתי דברים שונים,
express-session מטפל נטו בסשן - כלומר אחראי לשמירת מידע שצד שרת ואחזורו בכל בקשה לפי הקוקיס.
passport מטפל בכל מה שנוגע לאוטנטיקציה שזה כולל את כל ההביטים של זיהוי משתמשים וכניסה באמצעות רשתות חברתיות וכו'.
אני לא יודע איך passport שומר את המידע לאורך השסן.

מנצפך

@dovid תודה.
מה שנראה לי נכון לעבוד עם express-session. ולאחסן את הסשנים ב redis.

מה אומרים?

עדיף DB אחר?

יוסף בן שמעון

אין לי ניסיון ברדיס, אבל אני לא מבין למה צריך לשמור סשנים בזיכרון חי, זה מועד לפורענות של דליפת זיכרון, ואם אתה מאתחל את המכונה כל הסשנים נמחקים והקליינט לא מבין למה הוא צריך להכניס עוד פעם סיסמה אחרי שכבר הכניס לפני שעתיים.
אקספרס סשנ'ס יודע לעבוד עם הרבה סוגי DB, אתה לא צריך לייחד DB מיוחד עבור הסשנים, רק תגדיר לו את הגדרות החיבור לDB הכללי והוא כבר ידאג ליצור טבלה וכל מה שצריך

יוסף בן שמעון

אתה צריך ליצור טבלה של יוזרים עם שם מייל סיסמה הרשאות ושאר ירקות, ובעמוד של login להגדיר בשביל פספורט את הפונקציה שמקבלת את המידע של ה login ובודקת אותו עם הטבלה של היוזרים, ולהגדיר ג"כ מה קורה במקרה של הצלחה וכישלון של login, ופה בערך מסתיים התפקיד שלך, אם הכניסה הצליחה פספורט שומר את זה בטבלה של הסשנים, ובכל בקשה של הקליינט אתה יכול לגשת לנתונים של הקליינט באובייקט req, משהו כזה:

req.session.passport.user.name

יוסף בן שמעון

אל תשמור סיסמאות ב DB זה גם לא חוקי ועלול לחשוף אותך לתביעות אם המידע יזלוג החוצה, וגם בגלל האחריות כלפי הקליינט שמפקיד את הסיסמה שלו אצלך והוא לא היה רוצה שכל מי שיש לו גישה לשרת יראה את הסיסמה שלו. יש מחלקות בנוד שמגבבות סיסמאות, יש כאן כמה מדריכים לעבוד עם סיסמאות
https://video-tov.ml/?tag=Passport.js&page=1

clickone

@יוסף-בן-שמעון אני לא חושב שזה לא חוקי לשמור סיסמאות בDB.
(אא"כ יש לך נתונים כספיים באתר וגם אז לא בטוח)
אפילו נתוני אשראי לזכרוני אין איסור לשמור - כל עוד לא פרצו לך.
ברגע שפרצו לך אז זה הופך לפלילי. (בנתוני אשראי)

מה שכן, כתבת בצדק מאד, שזה לא חכם וגם לא אתי כלפי לקוח הקצה שמפיק בידיים שלך סיסמא (בהרבה פעמים היא הסיסמא הקבועה שלו )

WWW

@clickone אמר בauthentication ב - express:

אפילו נתוני אשראי לזכרוני אין איסור לשמור - כל עוד לא פרצו לך.

בטוח?
יש איזה תקן אבטחת מידע שצריך לעמוד בו, לא?

מנצפך

@clickone
@WWW

אסור לשמור.
מה השאלה.
צריך אישורים ותקנים וזה עולה לא זול בכלל...

מותר נראה לי רק טוקן ותאריך.

clickone

@מנצפך
@WWW
עקרונית אין איסור לשמור, יש איסור שתהיה דליפה.
ז"א, לא יחול קנס במידה ושמרת, כל עוד לא התבצעה דליפת נתונים

מועצת PCI מעודדת עסקים המאחסנים נתוני אשראי לעמוד בתקן כדי להפחית סיכונים העלולים לגרום לפגיעה כספית כתוצאה מדליפת נתונים, אך היא אינה בעלת סמכות אכיפה של התקן. חברות האשראי הן המחזיקות בכוח לקבוע נהלים, לוחות זמנים ודרישות לעמידה בתקן. חברות האשראי כי החל מתחילת 2013 כל חברה המבצעת חיובים בכרטיסי אשראי תידרש לעמוד בתקן. חברה שתתקיים אצלה דליפה של נתוני אשראי ואשר לא עמדה בתקן תעמוד בפני מגבלות וקנסות מצד חברות האשראי.

https://www.hamichlol.org.il/תקן_PCI_DSS
ככה הסביר לי גם בעבר יועץ שייעץ לוועדה של זה בכנסת (כיום הא סמנכ"ל באחת מחברות הסליקה)

במידה והייתה דליפה למרות התקן, אז לא יהיה קנס....

WWW

@clickone אמר בauthentication ב - express:

במידה והייתה דליפה למרות התקן, אז לא יהיה קנס....

גם אם ההוא שולח למייל של מישהו אוטומטית את פרטי האשראי שההוא יבצע סליקה?

clickone

@WWW
זה חורג מהתקן.
ולכן יהיה קנס.

WWW

@clickone אמר בauthentication ב - express:

זה חורג מהתקן.
ולכן יהיה קנס.

ללא שייפרץ?

clickone

@WWW
להבנתי רק אם תהיה פריצה.
אחרת אין להם דרך להוכיח שחרגת. (לכאורה גם אם יש דרך לא יהיה קנס כל עוד שלא הייתה פריצה בפועל)

upsilon01

@WWW
שליחה במייל מן הסתם לא עומדת בתקן האבטחה
בפרט עם שלחת את 3 הספרות בגב הכרטיס(שחל איסור מוחלט לשמור אותם)

upsilon01

https://he.wikipedia.org/wiki/תקן_PCI_DSS#משמעות_PCI_עבור_עסקים