Только взялся за сессии.
Использую express-sessions.
Вот хранится sid на клиенте. Через post приходят данные с формы для авторизации. Потом по данным ищутся в БД ищется пользователь с таким логином, если найдет то сохраняется req.session.save().
Но гложит вопрос, если как-то будет подмена сессии, то как проверить. Была идея, чтобы на каждый запрос сайту проверять есть ли такая сессия в хранилище.
На мой взгляд простая проверка if(req.session.sid) не очень хорошая идея. Здесь просто проверка наличия сессии, но не ее подлинности, а каждый раз подключаться к БД, сравнивать - затратно.
Но вопрос, может есть более простые и быстрые методы? Может есть какие-то встроенные механизмы?
