Risposte:
Sì, dovresti cambiarlo. Un segreto di sessione in connect viene semplicemente utilizzato per calcolare l'hash . Senza la stringa, l'accesso alla sessione verrebbe essenzialmente "negato". Dai un'occhiata ai documenti di connessione , che dovrebbero aiutare un po '.
topsecret
. Il segreto dovrebbe essere una stringa casuale di caratteri. Idealmente dovresti anche cambiarlo periodicamente nel caso in cui sia stato scoperto. Tuttavia, ciò richiede il supporto per la rotazione segreta in modo da non invalidare immediatamente le sessioni esistenti. Cioè, due segreti di sessione dovrebbero essere considerati validi contemporaneamente. Per quanto ne so, Express non supporta la rotazione dei segreti in questo momento.
res.cookie('name', 'value', {signed: true})
Il segreto viene utilizzato per eseguire l'hashing della sessione con HMAC:
https://github.com/senchalabs/connect/blob/master/lib/middleware/session.js#L256
La sessione viene quindi protetta contro il dirottamento della sessione controllando l'impronta digitale contro l'hash con il segreto:
https://github.com/senchalabs/connect/blob/master/lib/middleware/session.js#L281-L287
chiave segreta utilizzata fondamentalmente per crittografare i dati nella sessione