9、会话安全与访问控制全解析

会话安全与访问控制全解析

会话安全强化

在登录时重新生成会话ID是增强会话安全性的重要一步，它能有效减轻会话固定攻击的风险。为进一步防止会话劫持，可将会话与用户的IP地址、用户代理等信息绑定。由于这些信息在使用过程中通常不会改变，因此可以作为检查会话或账户是否被劫持的依据。若信息发生变化，就表明会话很可能已被劫持，此时可采取销毁会话、通知用户以及记录日志等措施进行进一步分析。

不过，经验丰富的攻击者可能会通过同一子网代理请求，伪装成与受害者相同的IP地址，或者更改用户代理信息。所以，绑定操作虽不能提供绝对的保护，但能增加攻击者的攻击难度。

以下是扩展后的登录函数，用于绑定会话变量：

session.Session.prototype.login = function login(cb) {
    var req = this.req;
    this.regenerate(function (err) {
        if(err) {
            cb(err);
            return;
        }
        req.session._loggedInAt = Date.now();
        req.session._ip = req.ip;
        req.session._ua = req.headers['user-agent'];
        cb();
    });
};

还有用于检查绑定信息的中间件，它会将IP地址和用户代理与会话中存储的信息进行比对，若信息不一致，则会