那些遇到过的问题

会话 ID cookie 应该签名吗?

cou*_*que 7 session-cookies node.js

我正在使用 Node 库https://github.com/expressjs/session并注意到它需要指定一个秘密来签署会话 ID cookie。

如果只是会话 ID 被存储在 cookie 中,而不是任何数据,那么对 cookie 进行签名有什么用?

我的推理是,如果有人想要修改会话 ID cookie,那么如果会话 ID 足够长以防止暴力攻击,那很好。我错过了什么吗?

小智 2

如果您只存储会话 ID,则没有理由对其进行加密。你是对的。如果您在 cookie 中存储一些会话数据,而不仅仅是 id,则需要加密。这将防止用户更改会话数据。

归档时间:

查看次数:

1417 次

最近记录:

5 年,4 月 前
签名会话cookie.一个好主意? 29
更多相关链接
相关归档
访问ExpressJS/ConnectJS中间件内的"app"变量? 36
Yarn - 如何将 package.json 中的每个依赖项更新到最新版本? 33
在Android上运行NodeJS的可行选项(2017年8月) 32
node-express error:express deprecated res.send(status):改为使用res.sendStatus(status) 21
如何使用HTTPS下载Node.js文件? 18
D3库可以与Electron(Atom shell)一起使用吗? 13
构建时的node-gyp链接库依赖项 12
Windows的Node.js x86和x64安装程序有什么区别? 11
跳过时间戳中间件以获取Mongoose中的某些更新 10
将 Express Session 存储在 Cookie 中 6
难疑归档
如何在JavaScript中创建字符串大写的第一个字母? 3565
如何从SQL Server中的SELECT更新? 3546
将Git分支合并到master中的最佳(也是最安全)方法是什么? 1977
什么是尾递归? 1602
如何使用逗号作为千位分隔符在JavaScript中打印数字 1589
.gitignore被Git忽略了 1407
在YAML中,如何在多行中断字符串? 1388
如何完全删除使用init创建的git存储库? 1358
除了XHTML自包含标记之外,RegEx匹配开放标记 1323
最优雅的方法来检查Python中的字符串是否为空? 1282