koa:sess.sig是什么？

Question

我在Koa中使用Passport.js，并且我注意到当生成会话cookie时，它被称为koa:sess，并包含以Base64编码的会话信息。然而，还有另一个名为koa:sess.sig的cookie，其用途并不明显。我的猜测是，它旨在阻止攻击者欺骗会话(因为koa:sess cookie只包含用户ID)，是这样吗？

Answer 1

来自文档

签名:指示是否要对cookie进行签名的布尔值(默认为false)。如果这是真的，还会发送另一个带有.sig后缀的相同名称的cookie，其中包含一个27字节的url安全base64 SHA1值，表示cookie名称=cookie- value对第一个键的哈希值。此签名密钥用于在下次收到cookie时检测篡改。