Я использую Passport-local на Node.js (сохраняя информацию о пользователе в Mongodb) и Angular.js в качестве клиента. Процесс прост. Однако вот 3 проблемы безопасности:
Когда я выполняю вход на клиенте, на сервер отправляется файл json с пользователем и реальным паролем.
После того, как я войду в систему, токен будет сохранен в локальном хранилище Web Explorer, и его можно будет просмотреть, скопировать и использовать в будущем.
Обработанный солью токен jwt сохраняется с именем пользователя в коллекции пользователей Mongodb, которую можно увидеть и переместить на другой сервер (чтобы мы могли использовать то же имя пользователя и пароль с другого сервера для входа в систему и получения нового токена)
Кто-нибудь хочет обсудить это подробнее? Любые идеи о том, как их решить и снизить риск веб-сайта? Как насчет использования https?