如何解决使用 Express Cookie-Session 生成唯一的 sessionId
我在我的应用程序中使用 node/express.js
和 cookie-session
。
目前,当用户登录时,cookie 会在浏览器中存储一个值,例如:session: ABC123
。如果用户退出,cookie 将被删除。当用户重新登录时,相同的 cookie 和值会存储在浏览器 session: ABC123
中。
每当我登录时,我都会收到相同的会话 user_sid
。
解决方法
您想在用户成功登录时调用 session.regenerate(),这将执行您想要的操作并解决会话固定攻击
,cookie-session
包中没有会话 ID 的概念。
在会话数据存储在服务器上的典型场景中,会生成映射到给定用户会话数据的会话 ID。这是会话 cookie 中保存的会话 ID。
然而,使用 cookie-session 包,会话数据本身存储在 cookie 中 - 而不是在服务器上 - 所以根本不需要这样的映射或会话 ID。因此,除非会话数据实际上从一个会话更新到另一个会话,否则会话 cookie 将是相同的。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。