У меня есть два сервера,Node.js: Redis осветление безопасности
- ServerA -
nodejs
сервер в производстве, уже имеет модуль аутентификации, очень мало свободы, чтобы изменить код, я добавил модуль, который обеспечивает ключ маркера к серверу. - ServerB -
nodejs
сервер, а не на производстве, больше свободы для изменения кода, поскольку он не должен иметь независимый модуль аутентификации, зависит от ключа токена от сервераA для аутентификации пользователей.
Я использовал crypto
модуль для генерации токенов и имел такое же семя шифрования в serverA и serverB.
Это сработало, но токен-ключ, который не закончился, беспокоил меня. Но серверы независимы, и, следовательно, время сервера не будет синхронизировано, из-за некоторого контроля, может даже быть несколько дней друг от друга.
Затем я наткнулся на redis
, прочитав об этом сейчас, раньше не использовал.
Что делать, если я запустил redis
DB на сервереB, а serverA устанавливает в нем истекающий токен, а serverB проверяет каждый входящий запрос на токен против него. Правильно ли это использовать redis
, какие бы недостатки были и что самое главное, приведет ли это к любой лазейке безопасности?