Answers:
是的,您应该更改它。连接中的会话秘密仅用于计算哈希。没有字符串,对会话的访问实质上将被“拒绝”。看一下connect docs,应该会有所帮助。
topsecret
。密码应该是随机的字符串。理想情况下,如果已发现它,则还应定期更改它。但是,这需要支持秘密轮换,因此您不会立即使现有会话无效。也就是说,两个会话机密应同时视为有效。据我所知,Express目前不支持旋转秘密。
res.cookie('name', 'value', {signed: true})
该秘密用于哈希与HMAC的会话:
https://github.com/senchalabs/connect/blob/master/lib/middleware/session.js#L256
然后通过使用秘密检查哈希值的指纹来保护会话免受会话劫持:
https://github.com/senchalabs/connect/blob/master/lib/middleware/session.js#L281-L287