Question

我对会话有非常好的基本了解。

使用express和node.js的会话有两个选项。

我熟悉的第一个，但我对第二种方法有几个问题。

使用cookieSession会将所有实际数据存储在客户端cookie上。这意味着敏感数据将保存在客户端。

这看起来非常糟糕。这不意味着某些恶意软件可以检索这些数据吗？

另一个问题：

我已尝试将express.session替换为express.cookieSession，一切正常，我可以在客户端看到数据，但似乎每次我删除cookie并重新进入服务器，我收到了SAME会话令牌。这怎么可能？

除了将express.session改为之外，我还应该做些什么，让我们说：

app.use(express.cookieSession({ secret: 'keyboard cat' }));

为什么每次客户端获得新会话时都会获得相同的令牌？

Answer 1

有关安全性的问题1：一个站点无法访问其他站点的cookie，但在将敏感数据放入客户端时肯定存在风险。不推荐。请阅读此处的答案，了解基本纲要：How to store cookies containing sensitive data securely in PHP?

有关同一令牌的问题2，请参阅我对您问题的评论。