// private function gen_session(user,res) { var auth_token = encrypt(user._id + ‘\t’+user.name + ‘\t’ + user.pass +’\t’ + user.email, config.session_secret); res.cookie(config.auth_cookie_name, auth_token, {path: ‘/’,maxAge: 10006060247}); //cookie 有效期1周 }

用户密码存在cookie中，如果用户知道session_secret，很容易搞到密钥