[NODE.JS] Cookies, token, Express, authentification

Bob456
Javascript NodeJS

Bonjour,

Voila je ne sais pas comment faire pour sécuriser mes données, surtout celle d'authentification, sur un serveur NodeJS sous express.
J'utilise VueJS En front

Ce que je fais

Lors de l'idenfication de l'utilisateur, en cas de success je créer un Token crypté avec bcrype

Ce que je veux

J'aimerais sécuriser la connection.
Dans l'exemple que j'ai suivi, j'utilise le token dans le LocalStorage. Mais ce n'est pas du tout sécurisé.

J'ai vu que l'on pouvait utiliser les cookies en HTTP Only, se qui est apparement plus sur. Cependant je ne sais pas trop comment m'y prendre.
Je ne sais pas de quel je dois créer le cookie (client ou serveur ?)
je ne sais pas quoi et quand je dois vérifier les informations d'authentification (à chaque routage ?) et comment faire pour que les informations soient sécuriser et non violable.
Le HTTPS crypetera automatiqement les cookies ?

Mon But

Mon but :
Pouvoir se connecter sur une App Vue.JS sans utiliser le localStorage (j'envoie les données avec Axios)
Que les privilège utilisateur ne soit pas hackable
Que l'utilisateur ne puisse pas se connecter sans réel permission du serveur (en modifiant le localStorage par exemple)
Que les données ne soit pas visible coté client (nom user, password etc)

Je dois utiliser quoi comme module pour cela ?
Auriez vous un petit exemple ?

Merci beaucoup pour votre futur aide :)

PS :

j'ai vu que sur graphikart il y avait des cookies :
Un de session ( si on le modifie on est déconnecté)
Un de User_ID (si on le modifie, il se remet à jours correctement lorsque l'on raffraichie la page si le cookie Session est juste)

Donc j'imagine que le token de session est vérifié à chaque routage, si il existe pas. on est deconnecté.
Le cookie User_ID possède les informations de l'utilisateurs. Elles sont récupérées grâce au cookie de session.

Je n'arrive pas non plus à créer un cookie coté client et je ne sais pas comment afficher tous les cookies coté serveur (express).

CE QUE JE PENSE FAIRE :

  • Créer un cookie coté backend avec le token (http only + scure qui oblige l'information à être en HTTPS)
  • Créer un cookie coté front avec le token
  • vérifié à chaque routage (et update) si le cookie à un numéro de session valide
    • Sinon on le déconnect et il reviens sur la page de login

je pense que ça n'empechera pas une attaque avec un middleman (bon apres avec le HTTPS ça devrat le faire) mais ça permettra de vérifier que l'utilisateur est à le droit d'être sur le site.

Vous en pensez quoi ?

Aucune réponse