我认为其他答案都遗漏了要点,那就是该
secret参数是否使会话管理更加安全。在Security.StackExchange这个问题中进行了很好的讨论:为什么直接将会话ID存储在cookie中是不安全的?
我建议您阅读它(不仅有最高的投票答案是相关的)。
尝试总结一下:在 会话ID 为大随机数的情况下,它不会显着减少会话被猜测和被劫持的机会,但是如果 会话ID
是自定义的(例如递增ID),则显然会大有帮助在 ExpressJS中 可能。
用户可以使用他们想要的任何会话ID。也许有人觉得他们应该使用SQL数据库中的自动递增数字,这没关系,因为我们通过对值进行签名,加长密钥来保护他们不知情的决定。
欢迎分享,转载请注明来源:内存溢出
微信扫一扫
支付宝扫一扫
评论列表(0条)