{"id":80,"date":"2026-06-14T16:55:23","date_gmt":"2026-06-14T16:55:23","guid":{"rendered":"https:\/\/shattered.io\/fi\/2026\/06\/14\/turvalliset-sessiot-nodejs\/"},"modified":"2026-06-14T16:57:02","modified_gmt":"2026-06-14T16:57:02","slug":"turvalliset-sessiot-nodejs","status":"publish","type":"post","link":"https:\/\/shattered.io\/fi\/turvalliset-sessiot-nodejs\/","title":{"rendered":"Turvalliset sessiot Node.js:ss\u00e4: 10 vaihetta [2026]"},"content":{"rendered":"\n

Istunto eli sessio on se hauras lanka, joka pit\u00e4\u00e4 k\u00e4ytt\u00e4j\u00e4n kirjautuneena verkkosovellukseen pyynn\u00f6st\u00e4 toiseen. Jos lanka katkeaa v\u00e4\u00e4r\u00e4ll\u00e4 tavalla, hy\u00f6kk\u00e4\u00e4j\u00e4 voi varastaa toisen k\u00e4ytt\u00e4j\u00e4n istunnon ja toimia t\u00e4m\u00e4n nimiss\u00e4 ilman salasanaa. T\u00e4m\u00e4 opas rakentaa nollasta turvallisen, palvelinpohjaisen istunnonhallinnan Node.js 22 LTS<\/strong>– ja Express 5<\/strong> -ymp\u00e4rist\u00f6\u00f6n. K\u00e4ymme l\u00e4pi 10 konkreettista vaihetta, viisi sudenkuoppaa ja t\u00e4ydellisen toimivan esimerkkiprojektin, jonka voit kopioida suoraan tuotantoon.<\/p>\n\n\n\n

OWASP listaa istunnonhallinnan virheet edelleen yhdeksi yleisimmist\u00e4 todennukseen liittyvist\u00e4 haavoittuvuuksista. Tyypilliset virheet ovat tuttuja: ev\u00e4ste ilman HttpOnly<\/code>-lippua, istunto-ID:t\u00e4 ei uudisteta kirjautumisen yhteydess\u00e4, tai istuntovarasto pidet\u00e4\u00e4n palvelimen muistissa, jolloin se katoaa jokaisella uudelleenk\u00e4ynnistyksell\u00e4. Jokainen n\u00e4ist\u00e4 korjataan t\u00e4ss\u00e4 oppaassa. P\u00e4ivitetty 14. kes\u00e4kuuta 2026.<\/p>\n\n\n\n

Mit\u00e4 palvelinpohjaiset Node.js-sessiot ovat<\/h2>\n\n\n\n

Palvelinpohjaisessa istunnonhallinnassa selain saa vain pienen, satunnaisen istuntotunnisteen ev\u00e4steess\u00e4. Kaikki varsinainen tieto, kuten k\u00e4ytt\u00e4j\u00e4n ID, oikeudet ja kirjautumisaika, pysyy palvelimella istuntovarastossa. Selaimelle kulkee siis pelkk\u00e4 viiteavain, ei yht\u00e4\u00e4n luottamuksellista dataa. T\u00e4m\u00e4 on olennainen ero verrattuna tilattomaan JWT-malliin, jossa koko hy\u00f6tykuorma kulkee asiakkaan mukana allekirjoitettuna.<\/p>\n\n\n\n

Kun selain l\u00e4hett\u00e4\u00e4 pyynn\u00f6n, se liitt\u00e4\u00e4 mukaan istuntoev\u00e4steen. Express lukee tunnisteen, hakee vastaavan istunnon varastosta ja t\u00e4ytt\u00e4\u00e4 req.session<\/code>-olion. Sovellus n\u00e4kee k\u00e4ytt\u00e4j\u00e4n tilan ilman, ett\u00e4 asiakas voi muokata sit\u00e4. Jos haluat kumota istunnon v\u00e4litt\u00f6m\u00e4sti, esimerkiksi k\u00e4ytt\u00e4j\u00e4n vaihtaessa salasanan tai havaitessasi tietomurron, poistat sen palvelimen varastosta ja yhteys katkeaa heti. Juuri t\u00e4m\u00e4 v\u00e4lit\u00f6n kumoamismahdollisuus tekee palvelinpohjaisista sessioista vahvan valinnan selainsovelluksiin.<\/p>\n\n\n\n

Vertailun vuoksi: jos k\u00e4yt\u00e4t tilatonta tunnistautumista, tutustu erilliseen JWT-todennusoppaaseen<\/a>. Useimmissa selainpohjaisissa sovelluksissa palvelinpohjainen sessio on yksinkertaisempi ja turvallisempi oletusvalinta, koska kumoaminen ja istunnon uudistaminen ovat triviaaleja. Taulukko alla tiivist\u00e4\u00e4 erot.<\/p>\n\n\n\n

Ominaisuus<\/th>Palvelinpohjainen sessio<\/th>Tilaton JWT<\/th><\/tr><\/thead>
Datan sijainti<\/td>Palvelimella varastossa<\/td>Asiakkaan tokenissa<\/td><\/tr>
Ev\u00e4steen koko<\/td>Pieni (vain ID)<\/td>Suuri (koko hy\u00f6tykuorma)<\/td><\/tr>
V\u00e4lit\u00f6n kumoaminen<\/td>Kyll\u00e4, poista varastosta<\/td>Vaikea, vaatii estolistan<\/td><\/tr>
Skaalautuvuus monelle palvelimelle<\/td>Vaatii jaetun varaston (Redis)<\/td>Toimii ilman jaettua tilaa<\/td><\/tr>
Session fixation -riski<\/td>Estet\u00e4\u00e4n ID:n uudistuksella<\/td>Ei sovellu samalla tavalla<\/td><\/tr>
Tyypillinen k\u00e4ytt\u00f6kohde<\/td>Selainsovellukset, kirjautuminen<\/td>API:t, palvelujenv\u00e4linen liikenne<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Miksi istuntoturvallisuus on t\u00e4rke\u00e4\u00e4 vuonna 2026<\/h2>\n\n\n\n

Istuntoev\u00e4ste on k\u00e4yt\u00e4nn\u00f6ss\u00e4 avain, joka korvaa salasanan koko kirjautumisjakson ajaksi. Jos hy\u00f6kk\u00e4\u00e4j\u00e4 saa sen haltuunsa, h\u00e4n ohittaa salasanan, monivaiheisen tunnistautumisen ja kaikki muut kirjautumisen suojat kerralla. T\u00e4st\u00e4 syyst\u00e4 istunnon kaappaaminen on yksi tehokkaimmista tavoista vallata tili. Hy\u00f6kk\u00e4\u00e4j\u00e4t tavoittelevat ev\u00e4steit\u00e4 haittaohjelmilla, jotka lukevat selaimen tallennuksen, sek\u00e4 XSS-aukkojen kautta, jos ev\u00e4ste ei ole suojattu HttpOnly<\/code>-lipulla.<\/p>\n\n\n\n

Vuonna 2026 istuntoja varastavat tietovarkaat eli infostealerit ovat erityisen aktiivisia. Ne ker\u00e4\u00e4v\u00e4t selainten istuntoev\u00e4steit\u00e4 massoittain ja myyv\u00e4t niit\u00e4 pimeill\u00e4 markkinoilla, jolloin ostaja voi kirjautua suoraan uhrin tilille ilman salasanaa. T\u00e4m\u00e4 korostaa kahta asiaa, joita t\u00e4m\u00e4 opas painottaa: ev\u00e4ste pit\u00e4\u00e4 suojata niin, ettei sit\u00e4 saa luettua JavaScriptill\u00e4, ja palvelimella pit\u00e4\u00e4 olla kyky kumota istunto v\u00e4litt\u00f6m\u00e4sti, kun varkaus havaitaan. Palvelinpohjainen malli antaa juuri t\u00e4m\u00e4n kumoamiskyvyn, jota tilaton token ei tarjoa ilman lis\u00e4rakenteita.<\/p>\n\n\n\n

S\u00e4\u00e4ntely lis\u00e4\u00e4 oman paineensa. Suomessa ja muualla Pohjoismaissa GDPR edellytt\u00e4\u00e4 henkil\u00f6tietojen asianmukaista suojaa, ja NIS2-direktiivin my\u00f6t\u00e4 useat organisaatiot ovat velvollisia osoittamaan, ett\u00e4 niiden todennusratkaisut kest\u00e4v\u00e4t yleisimm\u00e4t hy\u00f6kk\u00e4ykset. Hyvin toteutettu istunnonhallinta, joka uudistaa istunto-ID:n, k\u00e4ytt\u00e4\u00e4 turvallisia ev\u00e4stelippuja ja s\u00e4ilytt\u00e4\u00e4 istunnot suojatussa varastossa, on osa t\u00e4t\u00e4 vaatimustenmukaisuutta. Huonosti toteutettu istunto taas voi johtaa tietomurtoon, ilmoitusvelvollisuuteen ja sakkoihin. T\u00e4m\u00e4n oppaan kymmenen vaihetta viev\u00e4t sinut perustasolta tuotantokelpoiseen, vaatimukset t\u00e4ytt\u00e4v\u00e4\u00e4n ratkaisuun.<\/p>\n\n\n\n

Esivaatimukset ja versiot<\/h2>\n\n\n\n

T\u00e4m\u00e4 opas olettaa, ett\u00e4 hallitset JavaScriptin perusteet ja komentorivin k\u00e4yt\u00f6n. Asenna alla luetellut ty\u00f6kalut ennen aloittamista. K\u00e4yt\u00e4mme Node.js 22 LTS -versiota, joka on aktiivinen LTS-julkaisu vuonna 2026 ja saa tietoturvap\u00e4ivityksi\u00e4 huhtikuuhun 2027 asti. LTS on oikea valinta tuotantoon, koska se on yritysymp\u00e4rist\u00f6jen vakio-oletus. Node.js 24 on uudempi Current-linja, mutta sille ei kannata rakentaa tuotantokriittist\u00e4 todennusta viel\u00e4.<\/p>\n\n\n\n

Komponentti<\/th>Versio<\/th>Tarkoitus<\/th><\/tr><\/thead>
Node.js<\/td>22 LTS (aktiivinen LTS 2026)<\/td>Ajoymp\u00e4rist\u00f6<\/td><\/tr>
Express<\/td>5.x<\/td>Web-kehys<\/td><\/tr>
express-session<\/td>1.18.x<\/td>Istuntov\u00e4liohjelmisto<\/td><\/tr>
connect-redis<\/td>8.x<\/td>Redis-istuntovarasto<\/td><\/tr>
redis (node-redis)<\/td>4.x tai uudempi<\/td>Redis-asiakas<\/td><\/tr>
bcrypt<\/td>uusin versio<\/td>Salasanojen tiivistys<\/td><\/tr>
helmet<\/td>8.x<\/td>HTTP-turvaotsakkeet<\/td><\/tr>
express-rate-limit<\/td>7.x<\/td>Kirjautumisen rajoitus<\/td><\/tr>
Redis-palvelin<\/td>7.x tai uudempi<\/td>Istuntovarasto (tuotanto)<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n

Tarkista Node-versiosi komennolla node --version<\/code>. Sen pit\u00e4isi alkaa numerolla v22<\/code>. Jos sinulla on vanhempi versio, asenna nvm tai lataa LTS-asennuspaketti osoitteesta nodejs.org<\/a>. Redis-palvelimen voit ajaa paikallisesti Dockerilla tai asentaa suoraan; tuotannossa k\u00e4yt\u00e4 erillist\u00e4 Redis-instanssia. Varmista my\u00f6s, ett\u00e4 sovelluksesi tarjoillaan HTTPS:n yli, koska Secure<\/code>-ev\u00e4ste vaatii TLS-yhteyden. Jos TLS ei ole viel\u00e4 hallussa, lue HTTPS- ja TLS-oppaamme<\/a>.<\/p>\n\n\n\n

Vaihe 1: Projektin alustus ja riippuvuudet<\/h2>\n\n\n\n

Luo uusi hakemisto ja alusta npm-projekti. K\u00e4yt\u00e4mme ES-moduuleja, joten lis\u00e4\u00e4mme \"type\": \"module\"<\/code> package.json-tiedostoon. Asenna sen j\u00e4lkeen kaikki riippuvuudet yhdell\u00e4 komennolla. Pid\u00e4mme tuotanto- ja kehitysriippuvuudet erill\u00e4\u00e4n, jotta tuotantoasennus pysyy kevyen\u00e4.<\/p>\n\n\n\n

mkdir turvalliset-sessiot && cd turvalliset-sessiot\nnpm init -y\nnpm pkg set type=\"module\"\n\n# Tuotantoriippuvuudet\nnpm install express express-session connect-redis redis bcrypt helmet express-rate-limit dotenv\n\n# Kehitysriippuvuus automaattiseen uudelleenkaynnistykseen\nnpm install --save-dev nodemon<\/code><\/pre>\n\n\n\n
Komennon j\u00e4lkeen package.json<\/code>-tiedostosi sis\u00e4lt\u00e4\u00e4 kaikki tarvittavat paketit. Lis\u00e4\u00e4 viel\u00e4 k\u00e4ynnistyskomennot. Avaa package.json<\/code> ja varmista, ett\u00e4 scripts<\/code>-osio n\u00e4ytt\u00e4\u00e4 seuraavalta. dev<\/code>-komento k\u00e4ynnist\u00e4\u00e4 palvelimen uudelleen jokaisen tallennuksen j\u00e4lkeen, start<\/code> taas on tarkoitettu tuotantoon.<\/p>\n\n\n\n
{\n  \"type\": \"module\",\n  \"scripts\": {\n    \"start\": \"node app.js\",\n    \"dev\": \"nodemon app.js\"\n  }\n}<\/code><\/pre>\n\n\n\n
Luo lopuksi .env<\/code>-tiedosto ymp\u00e4rist\u00f6muuttujille ja lis\u00e4\u00e4 se heti .gitignore<\/code>-tiedostoon. Istuntosalaisuus ei saa koskaan p\u00e4\u00e4ty\u00e4 versionhallintaan. Generoi vahva satunnainen salaisuus komennolla node -e \"console.log(require('crypto').randomBytes(32).toString('hex'))\"<\/code> ja liit\u00e4 tulos .env<\/code>-tiedostoon avaimella SESSION_SECRET<\/code>.<\/p>\n\n\n\n
# .env\nNODE_ENV=development\nPORT=3000\nSESSION_SECRET=korvaa_tama_64_merkin_satunnaisella_hex_merkkijonolla\nREDIS_URL=redis:\/\/127.0.0.1:6379<\/code><\/pre>\n\n\n\n
Vaihe 2: Express-palvelimen perusrunko<\/h2>\n\n\n\n
Rakennetaan ensin minimaalinen Express-palvelin, jonka p\u00e4\u00e4lle kasaamme istunnonhallinnan. Luo tiedosto app.js<\/code>. Lataamme ymp\u00e4rist\u00f6muuttujat dotenvilla heti alussa, lis\u00e4\u00e4mme rungon JSON- ja lomakedatan j\u00e4sent\u00e4miseen ja avaamme yhden testireitin. T\u00e4ss\u00e4 vaiheessa istuntoja ei viel\u00e4 ole, vaan varmistamme, ett\u00e4 palvelin k\u00e4ynnistyy puhtaasti.<\/p>\n\n\n\n
\/\/ app.js\nimport \"dotenv\/config\";\nimport express from \"express\";\n\nconst app = express();\nconst PORT = process.env.PORT || 3000;\n\napp.use(express.json());\napp.use(express.urlencoded({ extended: true }));\n\napp.get(\"\/\", (req, res) => {\n  res.send(\"Palvelin toimii.\");\n});\n\napp.listen(PORT, () => {\n  console.log(`Palvelin kuuntelee portissa ${PORT}`);\n});<\/code><\/pre>\n\n\n\n
K\u00e4ynnist\u00e4 palvelin komennolla npm run dev<\/code>. Avaa selaimessa osoite http:\/\/localhost:3000<\/code>, ja sinun pit\u00e4isi n\u00e4hd\u00e4 teksti “Palvelin toimii.” Terminaalissa n\u00e4kyy seuraava tuloste. Jos n\u00e4et sen, perusrunko on kunnossa ja voimme siirty\u00e4 istuntoihin.<\/p>\n\n\n\n
$ npm run dev\n[nodemon] starting `node app.js`\nPalvelin kuuntelee portissa 3000<\/code><\/pre>\n\n\n\n
Vaihe 3: express-session-v\u00e4liohjelmiston konfigurointi<\/h2>\n\n\n\n
Nyt lis\u00e4\u00e4mme istunnonhallinnan. express-session<\/code> on virallinen v\u00e4liohjelmisto, joka luo ja hallinnoi req.session<\/code>-olioita. Aluksi k\u00e4yt\u00e4mme oletusarvoista muistivarastoa, jotta n\u00e4emme nopeasti tuloksen, mutta korvaamme sen Redisill\u00e4 vaiheessa 5. Lis\u00e4\u00e4 seuraava koodi app.js<\/code>-tiedostoon ennen reittej\u00e4.<\/p>\n\n\n\n
import session from \"express-session\";\n\nconst isProd = process.env.NODE_ENV === \"production\";\n\napp.use(\n  session({\n    name: \"sid\",                       \/\/ oletusnimi connect.sid kannattaa vaihtaa\n    secret: process.env.SESSION_SECRET,\n    resave: false,                     \/\/ ei tallenneta jos mikaan ei muuttunut\n    saveUninitialized: false,          \/\/ ei luoda istuntoa tyhjille vierailuille\n    cookie: {\n      httpOnly: true,\n      secure: isProd,                  \/\/ vaatii HTTPS:n tuotannossa\n      sameSite: \"lax\",\n      maxAge: 1000 * 60 * 60           \/\/ 1 tunti millisekunteina\n    }\n  })\n);<\/code><\/pre>\n\n\n\n
Kaksi asetusta ansaitsee erityishuomion. resave: false<\/code> est\u00e4\u00e4 istunnon turhan tallentamisen jokaisella pyynn\u00f6ll\u00e4, mik\u00e4 v\u00e4hent\u00e4\u00e4 kuormaa ja kilpailutilanteita. saveUninitialized: false<\/code> taas est\u00e4\u00e4 tyhjien istuntojen luomisen vierailijoille, jotka eiv\u00e4t ole viel\u00e4 kirjautuneet. T\u00e4m\u00e4 on t\u00e4rke\u00e4\u00e4 sek\u00e4 yksityisyyden ett\u00e4 GDPR-vaatimusten kannalta, koska et aseta ev\u00e4stett\u00e4 ennen kuin k\u00e4ytt\u00e4j\u00e4 todella tarvitsee istunnon. Lue lis\u00e4\u00e4 virallisesta express-session-dokumentaatiosta<\/a>.<\/p>\n\n\n\n
Testaa istunto lis\u00e4\u00e4m\u00e4ll\u00e4 laskurireitti. Lis\u00e4\u00e4 alla oleva koodi reittien sekaan ja p\u00e4ivit\u00e4 selainta useita kertoja. Laskurin pit\u00e4isi kasvaa yhdell\u00e4 joka p\u00e4ivityksell\u00e4, mik\u00e4 todistaa ett\u00e4 istunto s\u00e4ilyy pyynt\u00f6jen v\u00e4lill\u00e4.<\/p>\n\n\n\n
app.get(\"\/laskuri\", (req, res) => {\n  req.session.kaynnit = (req.session.kaynnit || 0) + 1;\n  res.send(`Vierailuja tassa istunnossa: ${req.session.kaynnit}`);\n});<\/code><\/pre>\n\n\n\n
Vaihe 4: Turvalliset ev\u00e4steasetukset<\/h2>\n\n\n\n
Istuntoev\u00e4steen asetukset ratkaisevat, kuinka hyvin se kest\u00e4\u00e4 yleisimpi\u00e4 hy\u00f6kk\u00e4yksi\u00e4. Kolme lippua ovat ehdottomia: HttpOnly<\/code> est\u00e4\u00e4 JavaScripti\u00e4 lukemasta ev\u00e4stett\u00e4, mik\u00e4 rajoittaa XSS-hy\u00f6kk\u00e4yksen kyky\u00e4 varastaa istunto. Secure<\/code> varmistaa, ettei ev\u00e4stett\u00e4 l\u00e4hetet\u00e4 koskaan salaamattoman HTTP-yhteyden yli. SameSite<\/code> rajoittaa ev\u00e4steen l\u00e4hett\u00e4mist\u00e4 sivustojen v\u00e4lisiss\u00e4 pyynn\u00f6iss\u00e4 ja torjuu monia CSRF-tyyppisi\u00e4 hy\u00f6kk\u00e4yksi\u00e4. Alla oleva taulukko kokoaa attribuutit ja suositusarvot.<\/p>\n\n\n\n
Attribuutti<\/th>Suositusarvo<\/th>Mit\u00e4 se est\u00e4\u00e4<\/th><\/tr><\/thead>
HttpOnly<\/td>true<\/td>Ev\u00e4steen varastamisen JavaScriptill\u00e4 (XSS)<\/td><\/tr>
Secure<\/td>true (tuotanto)<\/td>L\u00e4hetyksen salaamattoman HTTP:n yli<\/td><\/tr>
SameSite<\/td>lax tai strict<\/td>Sivustojenv\u00e4lisen pyynn\u00f6n (CSRF)<\/td><\/tr>
maxAge<\/td>lyhyt, esim. 1 h<\/td>Pitk\u00e4ik\u00e4isen istunnon v\u00e4\u00e4rink\u00e4yt\u00f6n<\/td><\/tr>
name<\/td>oma, ei connect.sid<\/td>Teknologiapinon paljastumisen<\/td><\/tr>
domain \/ path<\/td>mahdollisimman kapea<\/td>Ev\u00e4steen liiallisen levi\u00e4misen<\/td><\/tr><\/tbody><\/table><\/figure>\n\n\n\n
Huomaa erityispiirre SameSite=None<\/code>-arvosta: sit\u00e4 saa k\u00e4ytt\u00e4\u00e4 vain yhdess\u00e4 Secure<\/code>-lipun kanssa, koska selaimet hylk\u00e4\u00e4v\u00e4t vuonna 2026 salaamattoman sivustojenv\u00e4lisen ev\u00e4steen kokonaan. Useimmissa kirjautumissovelluksissa lax<\/code> on oikea valinta, koska se sallii normaalin navigoinnin mutta est\u00e4\u00e4 vaaralliset POST-pohjaiset sivustojenv\u00e4liset pyynn\u00f6t. K\u00e4yt\u00e4 strict<\/code>-arvoa, jos sovellus ei tarvitse ulkoisia linkkej\u00e4 sis\u00e4\u00e4nkirjautuneeseen tilaan. Voit tarkistaa ev\u00e4steen attribuutit selaimen kehitysty\u00f6kaluista v\u00e4lilehdelt\u00e4 Application tai Storage, tai katsoa MDN:n Set-Cookie-dokumentaatiosta<\/a> tarkat m\u00e4\u00e4ritelm\u00e4t.<\/p>\n\n\n\n
Ev\u00e4steasetukset eiv\u00e4t yksin riit\u00e4, jos sovelluksessa on XSS-aukko. HttpOnly<\/code> pienent\u00e4\u00e4 vahinkoa, mutta paras suoja on est\u00e4\u00e4 XSS kokonaan sy\u00f6tteiden validoinnilla ja tulostuksen koodauksella. Lis\u00e4\u00e4mme vaiheessa 9 my\u00f6s Helmetin, joka asettaa sis\u00e4lt\u00f6turvak\u00e4yt\u00e4nn\u00f6n ja muut suojaotsakkeet. Yhdess\u00e4 n\u00e4m\u00e4 muodostavat kerroksellisen puolustuksen, jossa yksitt\u00e4isen kerroksen pett\u00e4minen ei viel\u00e4 avaa istuntoa hy\u00f6kk\u00e4\u00e4j\u00e4lle.<\/p>\n\n\n\n
Vaihe 5: Redis-istuntovarasto tuotantoon<\/h2>\n\n\n\n
Oletusvarasto eli MemoryStore on tarkoitettu vain kehitykseen. Se vuotaa muistia, ei skaalaudu usealle palvelininstanssille ja tyhjenee jokaisella uudelleenk\u00e4ynnistyksell\u00e4, jolloin kaikki k\u00e4ytt\u00e4j\u00e4t kirjautuvat ulos. Tuotannossa istunnot kuuluvat jaettuun varastoon, ja Redis on t\u00e4h\u00e4n vakiintunut valinta. Se on nopea, kest\u00e4\u00e4 useita instansseja ja osaa vanhentaa avaimet automaattisesti.<\/p>\n\n\n\n
K\u00e4yt\u00e4mme connect-redis<\/code>-pakettia version 8 mukaisella nimetyll\u00e4 exportilla ja redis<\/code>-asiakasta (node-redis). Korvaa edellisen vaiheen session()<\/code>-konfiguraatio seuraavalla. Yhdist\u00e4 Redis-asiakas ennen kuin annat sen varastolle, ja anna avaimille selke\u00e4 etuliite, jotta istunnot erottuvat muusta Redis-datasta.<\/p>\n\n\n\n
import { createClient } from \"redis\";\nimport { RedisStore } from \"connect-redis\";\n\n\/\/ Luo ja yhdista Redis-asiakas\nconst redisClient = createClient({ url: process.env.REDIS_URL });\nredisClient.on(\"error\", (err) => console.error(\"Redis-virhe:\", err));\nawait redisClient.connect();\n\nconst store = new RedisStore({\n  client: redisClient,\n  prefix: \"sess:\",\n  ttl: 60 * 60            \/\/ sekunteina, vastaa evasteen maxAgea\n});\n\napp.use(\n  session({\n    store,\n    name: \"sid\",\n    secret: process.env.SESSION_SECRET,\n    resave: false,\n    saveUninitialized: false,\n    cookie: {\n      httpOnly: true,\n      secure: isProd,\n      sameSite: \"lax\",\n      maxAge: 1000 * 60 * 60\n    }\n  })\n);<\/code><\/pre>\n\n\n\n
Voit varmistaa, ett\u00e4 istunnot todella tallentuvat Redisiin, komentorivin redis-cli<\/code>-ty\u00f6kalulla. Kirjaudu sovellukseen tai k\u00e4yt\u00e4 laskurireitti\u00e4 kerran, ja listaa sitten avaimet. N\u00e4et istunto-ID:t etuliitteell\u00e4 sess:<\/code>. Tuotannossa varmista, ettei Redis ole avoimessa internetiss\u00e4 ilman salasanaa, ja k\u00e4yt\u00e4 TLS-yhteytt\u00e4 Redikseen, jos se sijaitsee eri koneella. Lis\u00e4tietoa asiakaskirjastosta l\u00f6ytyy Redisin virallisesta node-redis-dokumentaatiosta<\/a>.<\/p>\n\n\n\n
$ redis-cli\n127.0.0.1:6379> KEYS sess:*\n1) \"sess:Hk3m9pQ2vLxR8tYw1nZ\"\n127.0.0.1:6379> TTL sess:Hk3m9pQ2vLxR8tYw1nZ\n(integer) 3587<\/code><\/pre>\n\n\n\n
Vaihe 6: Salasanojen tiivistys ja kirjautuminen<\/h2>\n\n\n\n
Istunto syntyy onnistuneen kirjautumisen j\u00e4lkeen, joten tarvitsemme kirjautumisreitin. Salasanoja ei koskaan tallenneta selkokielisin\u00e4 eik\u00e4 salata palautettavalla menetelm\u00e4ll\u00e4, vaan ne tiivistet\u00e4\u00e4n yksisuuntaisella algoritmilla. K\u00e4yt\u00e4mme t\u00e4ss\u00e4 bcrypti\u00e4 kustannuskertoimella 12. bcrypt on hyv\u00e4 oletus, mutta viel\u00e4 vahvempi nykyvalinta on Argon2; vertailua salasanojen suojaamisesta l\u00f6yd\u00e4t salasanaturvallisuusoppaastamme<\/a>.<\/p>\n\n\n\n
Alla oleva esimerkki k\u00e4ytt\u00e4\u00e4 muistissa olevaa demok\u00e4ytt\u00e4j\u00e4\u00e4 selkeyden vuoksi. Oikeassa sovelluksessa hakisit k\u00e4ytt\u00e4j\u00e4n tietokannasta. T\u00e4rkein turvallisuusyksityiskohta on, ett\u00e4 vertaamme sy\u00f6tetty\u00e4 salasanaa tiivisteeseen bcrypt.compare<\/code>-funktiolla, emmek\u00e4 koskaan palauta tietoa siit\u00e4, oliko vika k\u00e4ytt\u00e4j\u00e4tunnuksessa vai salasanassa. T\u00e4m\u00e4 est\u00e4\u00e4 k\u00e4ytt\u00e4j\u00e4tunnusten kalastelun virheilmoitusten avulla.<\/p>\n\n\n\n
import bcrypt from \"bcrypt\";\n\n\/\/ Demokayttaja: salasanan \"salasana123\" bcrypt-tiiviste\nconst demoUser = {\n  id: 1,\n  username: \"matti\",\n  passwordHash: await bcrypt.hash(\"salasana123\", 12)\n};\n\napp.post(\"\/kirjaudu\", async (req, res, next) => {\n  const { username, password } = req.body;\n\n  const user = username === demoUser.username ? demoUser : null;\n  const ok = user && (await bcrypt.compare(password, user.passwordHash));\n\n  if (!ok) {\n    \/\/ Sama viesti molemmissa tapauksissa\n    return res.status(401).send(\"Virheellinen kayttajatunnus tai salasana.\");\n  }\n\n  \/\/ Istunnon uudistus tehdaan seuraavassa vaiheessa\n  req.session.userId = user.id;\n  res.send(\"Kirjautuminen onnistui.\");\n});<\/code><\/pre>\n\n\n\n
T\u00e4m\u00e4 versio toimii, mutta siit\u00e4 puuttuu yksi kriittinen suoja: istunto-ID:t\u00e4 ei uudisteta kirjautumisen yhteydess\u00e4. Korjaamme t\u00e4m\u00e4n heti seuraavassa vaiheessa. Suojaa kirjautumisreitti my\u00f6s selauspohjaista CSRF:\u00e4\u00e4 vastaan, jos k\u00e4yt\u00e4t lomakkeita; siihen sopii esimerkiksi erillinen CSRF-token, kuten CSRF-suojausoppaassamme<\/a> kuvataan.<\/p>\n\n\n\n
Vaihe 7: Istunto-ID:n uudistus session fixation -suojaksi<\/h2>\n\n\n\n
Session fixation on hy\u00f6kk\u00e4ys, jossa hy\u00f6kk\u00e4\u00e4j\u00e4 asettaa uhrille ennalta tunnetun istunto-ID:n ennen kirjautumista. Kun uhri kirjautuu samalla ID:ll\u00e4, hy\u00f6kk\u00e4\u00e4j\u00e4 p\u00e4\u00e4see k\u00e4siksi todennettuun istuntoon, koska h\u00e4n tiet\u00e4\u00e4 tunnisteen valmiiksi. Suoja on yksinkertainen ja pakollinen: luo istunnolle uusi ID heti onnistuneen kirjautumisen j\u00e4lkeen funktiolla req.session.regenerate<\/code>. Vanha tunniste mit\u00e4t\u00f6ityy, eik\u00e4 hy\u00f6kk\u00e4\u00e4j\u00e4n ennalta asettama ID en\u00e4\u00e4 kelpaa.<\/p>\n\n\n\n
P\u00e4ivit\u00e4 kirjautumisreitti niin, ett\u00e4 se uudistaa istunnon ja tallentaa k\u00e4ytt\u00e4j\u00e4n ID:n vasta uudistuksen j\u00e4lkeen. Kutsu lopuksi req.session.save<\/code>, jotta istunto kirjoitetaan varastoon ennen vastausta. T\u00e4m\u00e4 on OWASP:n suosittelema malli, joka kuvataan tarkemmin OWASP Session Management Cheat Sheetiss\u00e4<\/a>.<\/p>\n\n\n\n
app.post(\"\/kirjaudu\", async (req, res, next) => {\n  const { username, password } = req.body;\n  const user = username === demoUser.username ? demoUser : null;\n  const ok = user && (await bcrypt.compare(password, user.passwordHash));\n\n  if (!ok) {\n    return res.status(401).send(\"Virheellinen kayttajatunnus tai salasana.\");\n  }\n\n  \/\/ Esta session fixation: luo uusi istunto-ID\n  req.session.regenerate((err) => {\n    if (err) return next(err);\n\n    req.session.userId = user.id;\n    req.session.kirjautumisaika = Date.now();\n\n    req.session.save((err) => {\n      if (err) return next(err);\n      res.send(\"Kirjautuminen onnistui.\");\n    });\n  });\n});<\/code><\/pre>\n\n\n\n
Suojaa nyt my\u00f6s sovelluksen sis\u00e4iset reitit. Kirjoita pieni v\u00e4liohjelmisto, joka tarkistaa, ett\u00e4 req.session.userId<\/code> on olemassa, ja ohjaa muuten kirjautumissivulle. T\u00e4ll\u00e4 tavalla et toista tarkistusta jokaisessa reitiss\u00e4 erikseen.<\/p>\n\n\n\n
function vaadiKirjautuminen(req, res, next) {\n  if (!req.session.userId) {\n    return res.status(401).send(\"Kirjaudu ensin sisaan.\");\n  }\n  next();\n}\n\napp.get(\"\/hallinta\", vaadiKirjautuminen, (req, res) => {\n  res.send(`Tervetuloa, kayttaja ${req.session.userId}.`);\n});<\/code><\/pre>\n\n\n\n
Vaihe 8: Uloskirjautuminen ja istunnon tuhoaminen<\/h2>\n\n\n\n
Uloskirjautumisen pit\u00e4\u00e4 tehd\u00e4 kaksi asiaa: poistaa istunto palvelimen varastosta ja tyhjent\u00e4\u00e4 ev\u00e4ste selaimesta. Pelkk\u00e4 ev\u00e4steen poisto ei riit\u00e4, koska istunto j\u00e4isi el\u00e4m\u00e4\u00e4n Redikseen ja varastettu ev\u00e4ste toimisi yh\u00e4. K\u00e4yt\u00e4 req.session.destroy<\/code>-funktiota, joka poistaa istunnon varastosta, ja tyhjenn\u00e4 sen j\u00e4lkeen ev\u00e4ste res.clearCookie<\/code>-kutsulla samalla nimell\u00e4, jonka asetit konfiguraatiossa.<\/p>\n\n\n\n
app.post(\"\/kirjaudu-ulos\", (req, res, next) => {\n  req.session.destroy((err) => {\n    if (err) return next(err);\n    res.clearCookie(\"sid\");          \/\/ sama nimi kuin session-konfiguraatiossa\n    res.send(\"Olet kirjautunut ulos.\");\n  });\n});<\/code><\/pre>\n\n\n\n
Varmista uloskirjautuminen tarkistamalla Redisist\u00e4, ett\u00e4 istunto on todella poistunut. Kirjaudu sis\u00e4\u00e4n, listaa avaimet redis-cli<\/code>:ll\u00e4, kirjaudu ulos ja listaa uudelleen. Avaimen pit\u00e4isi kadota. Jos toteutat istunnon vanhenemisen aktiivisuuden mukaan, harkitse my\u00f6s niin sanottua liukuvaa vanhenemista, jossa maxAge<\/code> nollataan jokaisella pyynn\u00f6ll\u00e4 asettamalla rolling: true<\/code> session-konfiguraatioon. T\u00e4ll\u00f6in aktiivinen k\u00e4ytt\u00e4j\u00e4 pysyy kirjautuneena mutta passiivinen istunto vanhenee turvallisesti.<\/p>\n\n\n\n
Vaihe 9: Reverse proxy, trust proxy ja HTTPS<\/h2>\n\n\n\n
Tuotannossa Node-sovellus on l\u00e4hes aina k\u00e4\u00e4nteisproxyn, kuten Nginxin, kuormantasaajan tai pilvi-ingressin, takana. Proxy purkaa TLS:n ja v\u00e4litt\u00e4\u00e4 pyynn\u00f6n sovellukselle tavallisena HTTP:n\u00e4. T\u00e4m\u00e4 aiheuttaa ongelman: Express luulee yhteytt\u00e4 turvattomaksi, jolloin Secure<\/code>-ev\u00e4ste ei l\u00e4hde lainkaan ja kirjautuminen rikkoutuu hiljaisesti. Ratkaisu on kertoa Expressille, ett\u00e4 se on luotetun proxyn takana, asetuksella trust proxy<\/code>.<\/p>\n\n\n\n
Lis\u00e4\u00e4 my\u00f6s Helmet, joka asettaa joukon HTTP-turvaotsakkeita, kuten sis\u00e4lt\u00f6turvak\u00e4yt\u00e4nn\u00f6n ja HSTS:n. Yhdess\u00e4 n\u00e4m\u00e4 muodostavat tuotantokelpoisen turvaperustan. Lis\u00e4\u00e4 seuraava koodi app.js<\/code>-tiedoston alkuun, heti Express-instanssin luomisen j\u00e4lkeen.<\/p>\n\n\n\n
import helmet from \"helmet\";\n\napp.use(helmet());\n\nif (isProd) {\n  \/\/ Luota yhteen edessa olevaan proxyyn (esim. Nginx)\n  app.set(\"trust proxy\", 1);\n}<\/code><\/pre>\n\n\n\n
Kun trust proxy<\/code> on asetettu, Express lukee X-Forwarded-Proto<\/code>-otsakkeen ja tunnistaa alkuper\u00e4isen yhteyden HTTPS:ksi. Varmista, ett\u00e4 proxysi todella asettaa t\u00e4m\u00e4n otsakkeen. Nginxiss\u00e4 se tehd\u00e4\u00e4n rivill\u00e4 proxy_set_header X-Forwarded-Proto $scheme;<\/code>. \u00c4l\u00e4 koskaan aseta trust proxy<\/code> arvoon true<\/code> ilman ymm\u00e4rryst\u00e4 verkkorakenteesta, koska se saa Expressin luottamaan kenen tahansa l\u00e4hett\u00e4m\u00e4\u00e4n forwarded-otsakkeeseen, mik\u00e4 voi mahdollistaa IP-osoitteen v\u00e4\u00e4rent\u00e4misen. Jos pystyt\u00e4t oman TLS-p\u00e4\u00e4tt\u00e4v\u00e4n proxyn, palvelinopastuksemme<\/a> ja HTTPS-oppaamme<\/a> auttavat alkuun.<\/p>\n\n\n\n
Vaihe 10: Kirjautumisen rate limiting ja brute force -suoja<\/h2>\n\n\n\n
Vahvinkaan istunnonhallinta ei auta, jos hy\u00f6kk\u00e4\u00e4j\u00e4 voi arvata salasanan rajattomalla m\u00e4\u00e4r\u00e4ll\u00e4 yrityksi\u00e4. Siksi kirjautumisreitti on rajoitettava. express-rate-limit<\/code> tarjoaa yksinkertaisen tavan rajata pyynt\u00f6jen m\u00e4\u00e4r\u00e4\u00e4 IP-osoitetta kohden. Asetamme tiukan rajan kirjautumiselle: enint\u00e4\u00e4n viisi yrityst\u00e4 15 minuutissa. T\u00e4m\u00e4 hidastaa brute force -hy\u00f6kk\u00e4yst\u00e4 merkitt\u00e4v\u00e4sti rikkomatta tavallista k\u00e4ytt\u00f6\u00e4.<\/p>\n\n\n\n
import { rateLimit } from \"express-rate-limit\";\n\nconst kirjautumisRajoitin = rateLimit({\n  windowMs: 15 * 60 * 1000,   \/\/ 15 minuuttia\n  max: 5,                     \/\/ enintaan 5 yritysta per IP\n  standardHeaders: true,\n  legacyHeaders: false,\n  message: \"Liikaa kirjautumisyrityksia. Yrita uudelleen myohemmin.\"\n});\n\n\/\/ Liita rajoitin vain kirjautumisreittiin\napp.post(\"\/kirjaudu\", kirjautumisRajoitin, async (req, res, next) => {\n  \/\/ ... vaiheen 7 kirjautumislogiikka\n});<\/code><\/pre>\n\n\n\n
Tuotannossa, jossa on useita instansseja, IP-pohjainen laskuri kannattaa tallentaa Redikseen samaan tapaan kuin istunnot, jotta raja toimii yhten\u00e4isesti kaikilla palvelimilla. T\u00e4h\u00e4n on valmis rate-limit-redis<\/code>-varasto. Harkitse my\u00f6s t\u00e4ydent\u00e4vi\u00e4 suojia: viivett\u00e4 ep\u00e4onnistuneiden yritysten j\u00e4lkeen, CAPTCHA:a toistuvien ep\u00e4onnistumisten kohdalla ja kaksivaiheista tunnistautumista. Kaksivaiheinen tunnistautuminen nostaa suojan kokonaan uudelle tasolle, ja vertailimme menetelmi\u00e4 2FA-vertailussamme<\/a>.<\/p>\n\n\n\n
T\u00e4ydellinen toimiva esimerkkiprojekti<\/h2>\n\n\n\n
T\u00e4ss\u00e4 on koko app.js<\/code> koottuna yhteen. T\u00e4m\u00e4 on toimiva runko, jonka voit k\u00e4ynnist\u00e4\u00e4 heti, kun Redis on k\u00e4ynniss\u00e4 ja .env<\/code> on t\u00e4ytetty. Korvaa demok\u00e4ytt\u00e4j\u00e4 omalla tietokantahaullasi tuotantoa varten. Kaikki vaiheiden 1-10 suojat ovat mukana: turvalliset ev\u00e4steet, Redis-varasto, salasanan tiivistys, istunnon uudistus, uloskirjautuminen, trust proxy, Helmet ja kirjautumisen rajoitus.<\/p>\n\n\n\n
\/\/ app.js\nimport \"dotenv\/config\";\nimport express from \"express\";\nimport session from \"express-session\";\nimport { createClient } from \"redis\";\nimport { RedisStore } from \"connect-redis\";\nimport bcrypt from \"bcrypt\";\nimport helmet from \"helmet\";\nimport { rateLimit } from \"express-rate-limit\";\n\nconst app = express();\nconst PORT = process.env.PORT || 3000;\nconst isProd = process.env.NODE_ENV === \"production\";\n\napp.use(helmet());\napp.use(express.json());\napp.use(express.urlencoded({ extended: true }));\n\nif (isProd) app.set(\"trust proxy\", 1);\n\n\/\/ Redis-asiakas ja istuntovarasto\nconst redisClient = createClient({ url: process.env.REDIS_URL });\nredisClient.on(\"error\", (err) => console.error(\"Redis-virhe:\", err));\nawait redisClient.connect();\n\nconst store = new RedisStore({ client: redisClient, prefix: \"sess:\", ttl: 3600 });\n\napp.use(\n  session({\n    store,\n    name: \"sid\",\n    secret: process.env.SESSION_SECRET,\n    resave: false,\n    saveUninitialized: false,\n    rolling: true,\n    cookie: {\n      httpOnly: true,\n      secure: isProd,\n      sameSite: \"lax\",\n      maxAge: 1000 * 60 * 60\n    }\n  })\n);\n\n\/\/ Demokayttaja\nconst demoUser = {\n  id: 1,\n  username: \"matti\",\n  passwordHash: await bcrypt.hash(\"salasana123\", 12)\n};\n\nconst kirjautumisRajoitin = rateLimit({\n  windowMs: 15 * 60 * 1000,\n  max: 5,\n  standardHeaders: true,\n  legacyHeaders: false,\n  message: \"Liikaa kirjautumisyrityksia. Yrita uudelleen myohemmin.\"\n});\n\nfunction vaadiKirjautuminen(req, res, next) {\n  if (!req.session.userId) return res.status(401).send(\"Kirjaudu ensin sisaan.\");\n  next();\n}\n\napp.post(\"\/kirjaudu\", kirjautumisRajoitin, async (req, res, next) => {\n  const { username, password } = req.body;\n  const user = username === demoUser.username ? demoUser : null;\n  const ok = user && (await bcrypt.compare(password, user.passwordHash));\n  if (!ok) return res.status(401).send(\"Virheellinen kayttajatunnus tai salasana.\");\n\n  req.session.regenerate((err) => {\n    if (err) return next(err);\n    req.session.userId = user.id;\n    req.session.kirjautumisaika = Date.now();\n    req.session.save((err) => {\n      if (err) return next(err);\n      res.send(\"Kirjautuminen onnistui.\");\n    });\n  });\n});\n\napp.post(\"\/kirjaudu-ulos\", (req, res, next) => {\n  req.session.destroy((err) => {\n    if (err) return next(err);\n    res.clearCookie(\"sid\");\n    res.send(\"Olet kirjautunut ulos.\");\n  });\n});\n\napp.get(\"\/hallinta\", vaadiKirjautuminen, (req, res) => {\n  res.send(`Tervetuloa, kayttaja ${req.session.userId}.`);\n});\n\napp.listen(PORT, () => console.log(`Palvelin kuuntelee portissa ${PORT}`));<\/code><\/pre>\n\n\n\n
Testaa kokonaisuus curlilla. Kirjaudu sis\u00e4\u00e4n ja tallenna ev\u00e4ste tiedostoon, hae sitten suojattu reitti samalla ev\u00e4steell\u00e4 ja kirjaudu lopuksi ulos. Alla n\u00e4kyy odotettu kulku ja tuloste. Huomaa, ett\u00e4 ilman ev\u00e4stett\u00e4 suojattu reitti palauttaa virheen 401, mik\u00e4 todistaa ett\u00e4 suojaus toimii.<\/p>\n\n\n\n
$ curl -c evasteet.txt -X POST http:\/\/localhost:3000\/kirjaudu \\\n    -d \"username=matti&password=salasana123\"\nKirjautuminen onnistui.\n\n$ curl -b evasteet.txt http:\/\/localhost:3000\/hallinta\nTervetuloa, kayttaja 1.\n\n$ curl http:\/\/localhost:3000\/hallinta\nKirjaudu ensin sisaan.\n\n$ curl -b evasteet.txt -X POST http:\/\/localhost:3000\/kirjaudu-ulos\nOlet kirjautunut ulos.<\/code><\/pre>\n\n\n\n
Yleiset sudenkuopat ja miten v\u00e4lt\u00e4t ne<\/h2>\n\n\n\n
Istunnonhallinnan virheet toistuvat projektista toiseen. T\u00e4ss\u00e4 viisi yleisint\u00e4 sudenkuoppaa ja niiden korjaus. Jokainen n\u00e4ist\u00e4 on aiheuttanut todellisia tietoturvaongelmia tuotannossa, joten k\u00e4y lista huolella l\u00e4pi ennen julkaisua.<\/p>\n\n\n\n