// private
function gen_session(user,res) {
var auth_token = encrypt(user._id + ‘\t’+user.name + ‘\t’ + user.pass +’\t’ + user.email, config.session_secret);
res.cookie(config.auth_cookie_name, auth_token, {path: '/’,maxAge: 10006060247}); //cookie 有效期1周
}
用户密码存在cookie中,如果用户知道session_secret,很容易搞到密钥