Node.js:Redis安全說明
[英]Node.js: Redis security clarification
問題描述
我有兩台服務器,
-
nodejs生產中的nodejs服務器,已經具有身份驗證模塊,幾乎沒有修改代碼的自由,我添加了一個模塊,該模塊為serverB提供令牌密鑰。 - ServerB-
nodejs服務器,不在生產中,因為它不應該具有獨立的身份驗證模塊,因此可以更自由地更改代碼,它依賴於serverA的令牌密鑰來對用戶進行身份驗證。
我使用crypto模塊生成令牌,並且在serverA和serverB中使用相同的密碼種子。
這行得通,但令牌密鑰沒有到期困擾我。 但是,服務器是獨立的,因此由於某些疏忽,服務器時間可能不會同步,甚至可能相隔幾天。
然后,我遇到了redis ,現在閱讀它,以前從未使用過。
如果我在serverB上運行redis DB,並且serverA在其中設置了到期令牌,而serverB則針對該令牌檢查每個傳入請求,該怎么辦? 這是使用redis正確方法,缺點是什么,最重要的是,這會導致任何安全漏洞嗎?
1 個解決方案
解決方案1
1 已采納 2015-05-22 19:04:49
根據我在節點和Redis方面的經驗,我認為這可能是一個適合您的情況的解決方案,但是如果您有太多請求,我建議設置2台redis服務器-非常容易設置-每台服務器上安裝一台, serverA是主服務器,而serverB是從服務器,當serverA需要設置令牌時,它將使用其本地redis服務器對其進行設置,與此同時,serverB可以通過其ttl看到新密鑰並采取相應措施,關於安全性,我認為您有兩個選擇,要么在redis連接上設置密碼,要么在默認的防火牆級別或服務器級別阻止對使用的端口-6379進行訪問,如果您不是真正在考慮擴展結構,我建議您阻止訪問。
Node.js、wordpress、redis
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.