После того, как пользователь войдет в систему, отправив POST, чтобы сказать / войти в систему, паспорт прикрепит файл cookie сеанса, чтобы установить постоянный сеанс. Это делается с помощью функции serializeUser. Затем экспресс-сессия будет использовать эту функцию для генерации хэша (вычисленного с использованием HMAC) и отправляет его.
При следующем запросе паспорту каким-то образом удается расшифровать хешированную строку с помощью функции deserializeUser и извлечь из нее данные пользователя. Как это возможно, если экспресс-сессия действительно хеширует строку? Разве хеш-функции не являются односторонними? И если экспресс-сессия не хеширует строку, разве это не уязвимость системы безопасности?