Я ничего не знаю о криптографии. Мне интересно, что такое секрет сеанса.
Я вижу такой код:
app.use(express.session({
store: mongoStore({
url: app.set('db-uri')
}),
secret: 'topsecret'
}));
В чем секрет, и я должен его изменить?
Конечно, вы можете изменить его, если хотите. Секрет сеанса в подключении просто используется для вычислять хэш. Без строки доступ к сеансу будет по существу "отклонен". Взгляните на connect docs, который должен немного помочь.
И да, вы должны изменить его.
Секрет используется для хеширования сеанса с помощью HMAC:
https://github.com/senchalabs/connect/blob/master/lib/middleware/session.js#L256
Затем сеанс защищен от захвата сеанса, проверяя отпечаток на хэш с тайной:
https://github.com/senchalabs/connect/blob/master/lib/middleware/session.js#L281-L287
секретный ключ, используемый в основном для шифрования данных в сеансе