9、会话管理与访问控制：保障应用安全的关键

会话管理与访问控制：保障应用安全的关键

1. 会话安全增强

1.1 会话 ID 再生

登录时重新生成会话 ID，可有效减轻会话固定攻击的风险，是迈向安全会话的重要一步。

1.2 绑定会话防止劫持

为避免会话劫持攻击，可将会话与用户的 IP 地址、用户代理等信息绑定。由于这些信息在使用过程中通常不会改变，可作为检查会话或账户是否被劫持的依据。若信息发生变化，会话很可能已被劫持，可采取销毁会话、通知用户、记录日志等措施。

不过，经验丰富的攻击者可通过同一子网代理请求，伪装成与受害者相同的 IP 地址，或更改用户代理信息。因此，绑定会话并非绝对安全，但能增加攻击者的攻击难度。

以下是扩展的登录函数，用于绑定会话变量：

session.Session.prototype.login = function login(cb) {
    var req = this.req;
    this.regenerate(function (err) {
        if (err) {
            cb(err);
            return;
        }
        req.session._loggedInAt = Date.now();
        req.session._ip = req.ip;
        req.session._ua = req.headers['user-agent'];
        cb();
    });
};