Meteor 会话 cookie 和 meteor_login_token
Posted
技术标签:
【中文标题】Meteor 会话 cookie 和 meteor_login_token【英文标题】:Meteor session cookie & meteor_login_token 【发布时间】:2016-12-07 11:44:31 【问题描述】:根据docs ,Meteor 不使用会话cookie。
但是,meteor_login_token
cookie 的用途是什么?在我看来,它就像一个会话 cookie,在用户成功登录后创建,然后传递给对服务器的每个请求。
【问题讨论】:
【参考方案1】:Meteor 绝对不使用 cookie。
您的应用程序中是否有任何其他软件包可以添加此 cookie?例如,fast-render 能够通过使用 cookie 发送相同的登录令牌来获取与用户相关的数据。
如果我们看一下their code,他们确实有一个函数来设置一个名为meteor_login_token
的cookie。
function setToken(loginToken, expires)
Cookie.set('meteor_login_token', loginToken,
path: '/',
expires: expires
);
这种行为在他们的readme 的security part 中有描述。
如果您不使用fast-render,您绝对应该检查您可能拥有的任何其他可能添加额外cookie的软件包。
【讨论】:
以上是关于Meteor 会话 cookie 和 meteor_login_token的主要内容,如果未能解决你的问题,请参考以下文章
为啥 Meteor.user 和 Meteor.userId 不同?