Cookie对目标客户是私有的。这与socket.io或Google登录名没有什么不同。如果服务器想保护它们,则可以通过https运行连接,并且该连接是端到端加密的,并且客户端本身是唯一有权访问这些cookie的人。这是浏览器如何登录和标识先前已验证的客户端的方法。
而且socket.io会话ID也不必是机密。它没有任何授权。它只是将一个客户端标识为与以前的客户端相同。如果应用程序希望该客户端经过身份验证和安全保护,则需要以其他方式进行。没有任何与socket.io cookie关联的身份验证。