问题描述
我在我的应用程序中使用 node/express.js
和 cookie-session
。
目前,当用户登录时,cookie 会在浏览器中存储一个值,例如:session: ABC123
。如果用户退出,cookie 将被删除。当用户重新登录时,相同的 cookie 和值会存储在浏览器 session: ABC123
中。
每当我登录时,我都会收到相同的会话 user_sid
。
解决方法
您想在用户成功登录时调用 session.regenerate(),这将执行您想要的操作并解决会话固定攻击
,cookie-session
包中没有会话 ID 的概念。
在会话数据存储在服务器上的典型场景中,会生成映射到给定用户会话数据的会话 ID。这是会话 cookie 中保存的会话 ID。
然而,使用 cookie-session 包,会话数据本身存储在 cookie 中 - 而不是在服务器上 - 所以根本不需要这样的映射或会话 ID。因此,除非会话数据实际上从一个会话更新到另一个会话,否则会话 cookie 将是相同的。