安全性
本节主要包含一个可能的安全问题列表。请注意,以下缺陷存在于我们日常构建和使用 API 时使用的许多库和框架中。即使是你的原生 Nuxt 应用程序也已经存在一些这些缺点。以下列表中缺少对列表项可能发生的可能性以及它将对你的应用程序产生什么影响的估计。这是因为它在很大程度上取决于
- 你的应用:你是在构建一个有趣的项目吗?一个概念验证?还是下一个诺克斯堡级别的资金管理应用?
- 你的环境:构建一个免费提供的娱乐应用?在你的应用前端进行身份验证并信任所有成功通过身份验证的用户?太棒了!不信任任何人?那么在使用此库以及构建后端时请格外小心
废话不多说,这里有一些你可以考虑并采取行动应对的攻击案例。攻击媒介、问题或缓解措施都不是详尽无遗的
- 发送任意数据:服务器资源耗尽导致的拒绝服务攻击(带宽、CPU、内存)、任意代码执行(如果你解析数据),...
- 创建任意数量的会话:服务器资源耗尽导致的拒绝服务攻击(带宽、CPU、内存)
- 猜测正确的会话 ID:会话数据可能泄露
- 窃取客户端的会话 ID:会话数据可能泄露
请阅读如何缓解这些以及更多问题(如果你认为合适)。查看 nuxt-security 模块,它可能有助于解决其中一些问题。
披露
最后的提醒:此库并非由密码学或安全专家编写。请自行承担风险,如果需要,请检查代码,并在发现改进空间时提出 issue 或 pull request。如果你想私下提交安全问题,请发送电子邮件至 sidebase@sidestream.tech,主题为“SECURITY nuxt-auth”,我们会尽快查看你的请求。