Я ничего не знаю о криптографии. Мне интересно, в чем секрет сеанса.
Я вижу такой код:
app.use(express.session({ store: mongoStore({ url: app.set('db-uri') }), secret: 'topsecret' }));
В чем секрет, и стоит ли мне его менять?
Да, вы должны изменить это. Секрет сеанса в соединении просто используется для вычисления хеша . Без строки доступ к сеансу по сути будет «запрещен». Взгляните на connect docs , это должно немного помочь.
Секрет используется для хеширования сеанса с HMAC:
https://github.com/senchalabs/connect/blob/master/lib/middleware/session.js#L256
Затем сеанс защищается от перехвата сеанса путем проверки отпечатка пальца на хеш с секретом:
https://github.com/senchalabs/connect/blob/master/lib/middleware/session.js#L281-L287
секретный ключ, в основном используемый для шифрования данных в сеансе