私はexpress-sessionを使用しており、セッションシークレットを作成する必要があります。
私は、その秘密がハッシュに使用されていると読んでいます。
安全なセッションシークレットとは何ですか?
この秘密にはどのくらいの文字が必要ですか?私はこのようなランダムな英数字の文字列を考えていた
:
IqFic484907I0T552hiMQ1UCJimRGL55
は、誰も私にこれについてのアドバイスを与えることができますか?
シークレットは、セッションIDクッキーの署名に使用され、クッキーが改ざんされないようにします。
最後に、署名の作成を担当するモジュールはcookie-signatureであり、これはcrypto.createHmac()を秘密をキーに、SHA256アルゴリズムをハッシュに使用しています。
秘密の長さに実際の上限があるとは思わない(おそらく、ノード内の文字列の最大長は存在しないとは思えない)。私はそれが256ビット(= 32バイト)よりも長い場合、最初に32バイトにハッシュされると思います。
秘密にする文字に制限はありません。 24〜32バイトの長さのランダムなアルファベット文字の文字列はうまくいくはずです。