该cookie仍然可见,但是具有签名,因此它可以检测客户端是否修改了cookie。
它通过创建具有值(当前cookie)的HMAC并通过base64对其进行编码来工作。当读取cookie时,它将重新计算签名,并确保它与附加的签名匹配。
如果不匹配,则将给出错误。
如果您还想隐藏cookie的内容,则应该对其进行加密(或仅将其存储在服务器端会话中)。我不确定是否已经有中间件了。
编辑
并创建一个签名的cookie,您将使用
res.cookie('name', 'value', {signed: true})要访问已签名的cookie,请使用的
signedcookies对象
req:
req.signedcookies['name']
