8

ドキュメントには秘密にする必要があると書かれていますが、私のコードは github で公開されています。

うまくいくでしょうかapp.use(express.cookieParser(crypto.randomBytes(64).toString()))、それともサーバーの再起動時にシークレットを同じにする必要がありますか? シークレットをディスクに保存する必要がありますか? それはどの程度秘密にする必要がありますか?

4

3 に答える 3

3

Secret は、セッション Cookie の解析と照合に使用されます。再起動後に変更すると、新しいシークレットでは Cookie が無効になるため、以前のセッションが無効になります。

それでも、Cookie が盗まれた場合に備えて、秘密を変更することを検討してください。これにより、あなたが保護されます。必要な場所以外の場所にシーク​​レットを保存することはお勧めできません。シークレットやソルトについても同様です。それらへのアクセスはセキュリティ上好ましくないためです。

于 2013-07-04T09:35:29.280 に答える