1
Obtener Identificación de Usuario de la Sesión
A01: 2021 — Control de acceso roto
const session = require('express-session');
app.use(session(
{
secret: "session_cookie_secret_key_here",
resave: true,
saveUninitialized: true
}
));
/* Nota: No obtener la identificación del usuario
* de un parámetro de la URL
*/
2
Obtener Identificación de Usuario de la Sesión
A01: 2021 — Control de acceso roto
//Setear un userId en una sesión creada
session.userId = 15;
//Obtener el userId de una sesión en un request
const { userId } = request.session;
/* Nota: No obtener la identificación del usuario
* de un parámetro de la URL
*/
1
Uso de Cookies en Servidor Http o Https
A07: 2021 — Fallos de identificación y autenticación
const session = require('express-session');
app.use(session(
{
secret: "session_cookie_secret_key_here",
resave: true,
saveUninitialized: true,
cookie: {
httpOnly: true,
// Comentar si no se utiliza un servidor HTTPS
secure: true
}
}
));
1
Implementación de Rate Limit en las solicitudes
A07: 2021 — Fallos de identificación y autenticación
const rateLimit = require('express-rate-limit')
// Crear regla de rate limit
const apiRequestLimiter = rateLimit({
windowMs: 1 * 60 * 1000, // 1 minuto
max: 2, //limite cada IP a 2 solicitudes
message: "Tu límite excedió",
handler: function (req, res, next) {
return res.status(429).json({
error: 'Enviaste demasiadas solicitudes.'
})
}
});
app.use(apiRequestLimiter);