Ich bin ziemlich verwirrt über die Wichtigkeit von aSitzungsgeheimnis. Ich springe mit Express und Node in die Webentwicklung ein und versuche gerade, eine einfache Anmeldung zu implementieren. Der folgende Code stammt aus dem Sitzungsbeispiel in Express.

// Required by session() middleware
// pass the secret for signed cookies
// (required by session())
app.use(express.cookieParser('keyboard cat'));

// Populates req.session
app.use(express.session());

Es verwendet "Tastaturkatze" als Sitzungsgeheimnis. Viele Dinge, in denen ich mich über Sitzungsgeheimnisse umgesehen habe, empfehlen mir, dies in etwas Brauchbares zu ändern. Ich habe jetzt 3 spezifische Fragen dazu.

Warum habe ich das noch nie gesehen, als ich mit PHP gearbeitet habe?Wofür wird das Sitzungsgeheimnis genau verwendet?Angenommen, ich ändere den Sitzungsschlüssel. Mein Code ist Open Source. Wird das nicht ein bisschen überflüssig? Ich sehe nicht, dass der Benutzer optional nach einem benutzerdefinierten Schlüssel gefragt wird.Ich dachte daran, eine zufällige UUID zu generieren, um den Schlüssel auszufüllen. Gibt es damit Probleme? (aus Sicherheitsgründen)