Это довольно открытый вопрос, но я просто не могу получить прямой ответ, куда бы я ни посмотрел. Вопрос в заголовке, но...
Должен ли я возвращать зашифрованный пароль или токен пользователя при входе пользователя в систему
Дополнительная информация
Я запускаю приложение стека MEAN с Angular5. Я использую сеансы для пользователя и сохраняю их в MongoDB. Итак, насколько я понимаю, файл cookie сеанса — это то, что используется для аутентификации пользователя для расширенных сеансов, а не пароль (я не добрался до стратегий Facebook или Twitter, но, насколько я понимаю, файл cookie проверяет пользователя, а не токен, который Facebook /Twitter дает мне правильно?).
Я хочу передать пользовательские данные в свое приложение Angular и сохранить в локальном хранилище браузера для быстрой, не на стороне сервера проверки того, что пользователь вошел в систему. Это только из эстетических соображений, таких как отображение имени пользователя и изображения профиля. Ограниченные POST и GET по-прежнему требуют проверки на стороне сервера с использованием паспорта. Итак, мой вопрос: поскольку сеанс сохраняется в файле cookie, есть ли причина отправлять пароль или токен пользователю/браузеру? Несмотря на то, что пароль зашифрован (с использованием bcrypt), его отправка по-прежнему кажется ненужной дырой в безопасности. Есть ли причина, с которой я могу столкнуться в будущем, когда мне нужно, чтобы пароль сохранялся в браузере?
session cookie
состоит в том, чтобы предотвратить ненужное хранение паролей для аутентификации пользователя во время сеанса. - person Gokul Chandrasekaran   schedule 08.03.2018