node.js - connect.session 和 connect.cookieParser 的 secret 之间的区别？

Question

我想使用连接模块在我的 Express 应用程序中使用安全 cookie connect.session和 connect.cookieParser .根据文档，两者都接受一个 secret 参数。此 key 用于防止用户篡改 cookie。

我应该为两个模块设置相同的 key ，还是为两个不同的模块设置相同的 key ？还是我应该只将 key 传递给其中一个？

Answer 1

你只需要设置其中之一即可。不过，您可以传递给每个人，以便为他们提供不同的 secret 以供使用。

他们之间的区别在于他们所谓的“贪婪”。

• session(secret) 会将secret 保密，仅将其用于保存 session ID 的 cookie。

另一方面，

• cookieParser(secret) 将允许对任何 cookie 进行签名。

  您可以使用 Express' response.cookie() 创建签名 cookie .

  Signed cookies are also supported through this method. Simply pass the signed option. When given res.cookie() will use the secret passed to express.cookieParser(secret) to sign the value.

  res.cookie('name', 'tobi', { signed: true });
  

  Later you may access this value through the req.signedCookies object.