我在我的应用程序中使用node/express.jswith cookie-session。
目前,当用户登录时,cookie 会在其浏览器中存储一个值,例如:session: ABC123. 如果用户注销,cookie 将被删除。当用户重新登录时,相同的 cookie 和值会存储在浏览器中session: ABC123。
user_sid每当我登录时,我都会得到相同的会话。
我想在user_sid每次用户登录时随机化会话。
问问题
113 次
2 回答
1
包中没有会话 ID 的概念cookie-session。
在会话数据存储在服务器上的典型场景中,会生成一个映射到给定用户会话数据的会话 ID。这是保存在会话 cookie 中的会话 ID。
然而,使用 cookie-session 包,会话数据本身存储在 cookie 中 - 而不是在服务器上 - 因此根本不需要这样的映射或会话 ID。所以实际上,除非会话数据实际上从一个会话更新到另一个会话,否则会话 cookie 将是相同的。
于 2021-05-03T07:12:10.763 回答
1
您想在用户成功登录时调用 session.regenerate() ,这将做您想做的事情并解决会话固定攻击
于 2021-05-03T03:48:35.077 回答