9、会话安全与访问控制：保障系统安全的关键策略

会话安全与访问控制：保障系统安全的关键策略

会话安全增强措施

会话 ID 再生

在登录时重新生成会话 ID 是减轻会话固定攻击的有效方法。会话固定攻击是攻击者预先设置一个会话 ID，诱使用户使用该 ID 登录，从而获取用户会话控制权的一种攻击方式。通过在用户登录时重新生成会话 ID，可以使攻击者预先设置的 ID 失效，大大降低了会话固定攻击的风险。

绑定会话防止劫持

为了进一步避免会话劫持攻击，可以将会话与各种用户信息（如 IP 地址或用户代理）进行绑定。由于这些信息在使用过程中通常不会改变，因此可以作为检查会话或账户是否被劫持的依据。如果信息发生变化，则表明会话很可能已被劫持，此时可以采取相应的措施，如销毁会话、通知用户并记录日志以便进一步分析。

以下是扩展的登录函数，用于绑定会话变量：

session.Session.prototype.login = function login(cb) {
    var req = this.req;
    this.regenerate(function (err) {
        if (err) {
            cb(err);
            return;
        }
        req.session._loggedInAt = Date.now();
        req.session._ip = req.ip;
        req.session._ua = req.headers['user-agent'];
        cb();