nodeclub 安全问题
// private function gen_session(user,res) { var auth_token = encrypt(user._id + ‘\t’+user.name + ‘\t’ + user.pass +’\t’ + user.email, config.session_secret); res.cookie(config.auth_cookie_name, auth_token, {path: ‘/’,maxAge: 10006060247}); //cookie 有效期1周 }
用户密码存在cookie中,如果用户知道session_secret,很容易搞到密钥