Настройка
В настоящее время я пытаюсь создать веб-приложение с помощью NodeJS Express, и я использую экспресс-сеанс для управления сеансами и хранения сеансов в Redis.
Для простоты я хочу, чтобы клиент вызывал службу входа в систему, и я просто устанавливаю имя пользователя, прошедшего проверку подлинности, в сеансе.
Пример:
router.get('/', function(req, res){
req.session.username = someUsername;
res.send({authentication: "success"});
});
При таком подходе пользователь может войти в одну и ту же учетную запись, используя разные компьютеры/браузеры и т. д. И он сможет оставаться в системе до тех пор, пока не выйдет из системы или пока не истечет срок сеанса.
Вопрос
Теперь мне было интересно, что мешает человеку саботировать вход в систему, очистку файлов cookie и вход в систему снова (промыть и повторить)? При таком подходе пользователь может создавать бесконечное количество сеансов и вызывать сбой моего приложения (из-за нехватки памяти или заполнения моего хранилища). Как другие сайты справляются с этим?