6
文檔說它應該是祕密的,但我的代碼發佈在github上。我應該如何使用express.cookieParser()祕密?
會app.use(express.cookieParser(crypto.randomBytes(64).toString()))工作,還是應該保密是相同的,當服務器重新啓動?我應該將密碼存儲在磁盤上嗎?它需要多大的祕密?
A
回答
4
要保持你的祕密的祕密,你可以在環境變量中(稱爲「COOKIE_SECRET」爲例)設置它,然後你可以這樣做:
var cookieSecret = process.env.COOKIE_SECRET;
app.use(express.cookieParser(cookieSecret));
(或者,如果你想更復雜的配置設置,你可能想看看nconf它統一了跨環境變量,命令行參數和平面文件的配置)。
3
如果您想在重新啓動後保留會話,它應該是相同的。 祕密用於驗證服務器上的會話數據以防止格式錯誤的cookie數據。 也許你可以將你的隨機數據寫入一個文件,並從應用程序啓動時的文件中讀取祕密,如果文件存在,則不創建新的隨機密鑰。
3
祕密用於解析和匹配會話cookie。如果您在重新啓動後更改它,則會使先前的會話無效,因爲Cookie不會以新密碼生效。
儘管如此,如果餅乾被盜,您可能會考慮更改祕密,哪種保護您。將祕密存儲在需要它的地方以外的地方並不是一個好習慣。與任何祕密和鹽類一樣,因爲訪問它們不利於您的安全。
相關問題
- 1. 我應該加密我的Dropbox應用程序密鑰/祕密嗎?
- 2. 我如何爲我的頁面獲取應用程序祕密?
- 3. 我應該讓我的地理編碼API密鑰成爲一個祕密嗎?
- 4. 我應該使用OAuth 2.0中的刷新令牌發送祕密
- 5. 我應該在圖片網址中使用什麼作爲「魔術」或「祕密」?
- 6. 我應該保持Apple開發者團隊ID的祕密嗎?
- 7. 是從與應用祕密
- 8. 我應該如何使用PHP哈希我的密碼?
- 9. 保持祕密密鑰祕密 - 在Android應用程序..任何想法
- 10. CoreOS/etcd:如何管理我的祕密?
- 11. 應該把API的祕密加密了嗎?
- 12. HMAC祕密密鑰是否應該不進行硬編碼?
- 13. 我應該爲我的Symfony2應用程序的每個部署使用不同的祕密嗎?
- 14. 如何讓應用程序祕密保密?
- 15. Dropbox Java SDK。如何隱藏應用公開和祕密密鑰
- 16. 我應該在哪裏尋找消費者密鑰和祕密以註冊OAuth?
- 17. 我們如何混淆android應用程序中的twitter API密鑰和祕密
- 18. 我如何編輯我的私人/祕密gnupg密鑰
- 19. 如何使用用戶密鑰和祕密生成oauth令牌
- 20. 我應該如何存儲密碼?
- 21. 使用祕密作爲IV
- 22. Google Appengine用戶應該被視爲祕密嗎?
- 23. 如何使用我應該訪問密鑰和安全
- 24. 如何使用java生成s3樣式訪問/祕密密鑰
- 25. 如何找到FB應用程序所有者,如果我只有FB應用程序密鑰和祕密?
- 26. 我在哪裏使用Facebook API密鑰和API祕密
- 27. 查找$祕密== MD5($ B $祕密)
- 28. 應用程序的祕密在哪裏?
- 29. 放在哪裏的OAuth應用祕密
- 30. OAuth祕密和桌面應用程序