以前没有注意到这一点,因为对于客户端 - 服务器通信,不需要通过XHR进行身份验证(截至目前)。在实现一些集成测试时,我正在创建realy请求node-xmlhttprequest到应用程序的实际实例。用户在第一个请求中进行身份验证,理论上用户的唯一标识符和一些其他相关信息存储在会话中(正如我所说,这对真正的客户来说很好,他们不需要通过XHR确认他们的身份)。出于某种原因,即使使用完全相同的会话ID触发后续请求,我也无法在后续请求中检索会话,因此无法看到用户已通过身份验证,这会导致测试失败,预期的行为不会发生,HTTP 401 UNAUTHORIZED正在填满终端。
我已经看到了几个看起来像这样的问题,但是“相同的会话ID”似乎并不存在。
我是否需要手动将Set-Cookie标头添加到所有XHR请求中?那太糟糕了,必须有更好的方法!
所以人们喜欢源代码,这里有一些来自测试,解雇这些请求:
// Ensure logged in before sending request, to verify that authorized
// users encounter the expected behaviour.
jQuery.post(domain+'/login', {email:'test@express.app', password:'12345678'},
function(data,x,y){
data.should.equal("true")
jQuery.ajax({url:domain+'/event', type:"POST",
name: "TestEvent", location: "TestVille",
startDate: new Date('2013-09-01'), startTime: '6:45 pm',
description: "Test Event #1", success: state.success,
error: state.error, completed: state.completed
})
})
登录发生,用户ID被写入会话(`req.logIn()应该这样做,并且它不会报告任何失败),用户ID的序列化不报告任何失败,我非常困惑为什么使用相同会话ID的后续请求无法找到序列化用户ID。
我一般不参与网页开发,所以对某些人来说这可能是显而易见的,但我一直都在寻找答案而根本找不到答案。我很感激任何指针,我很乐意提供尽可能多的代码,以说明问题所在。
可能相关的一些额外代码点:
用户ID的序列化/反序列化(目前以最简单的方式实现 方式 - 在初始化护照和passpot.session()之后,这是中间件初始化的早期阶段。这非常适用于非XHR请求)
// Serialize user for passport session-store
// Currently only serializing 'user_id'
passport.serializeUser(function(user, done) {
done(null, user._id)
})
// Deserialize user from session-store to provide
// access to the User instance
passport.deserializeUser(function(id, done) {
User.findById(id, function(err, user) {
done(err, user)
})
})
通过本地策略验证用户:
passport.use(new LocalStrategy({
usernameField: "email", passwordField: "password",
passReqToCallback: true, failureFlash: true
},
function(req, email, password, done) {
User.findByEmail(email, function(err, user) {
if(user) {
if(err) console.log(err)
if(user instanceof UserLocal) {
user.verifyPassword(password, function(err, match) {
if(err) console.log(err)
if(!match) {
return done(err, false,
"Username or password is incorrect.")
}
return done(null, user)
})
} else {
var msg = "Account registered under " + user.providerName()
+ ", please login using " + user.providerName()
return done(err, false, msg)
}
} else {
return done(err, false, "Username or password is incorrect.")
}
})
})
最后是写入会话的请求:
function loginHelper(req, res, next) {
passport.authenticate('local', {
failureFlash:true,
failureRedirect: false,
successRedirect: false
},
function(err, user, info) {
req.logIn(user, function(err) {
if(!err) err = {}
if(req.xhr) {
console.log(req.session)
res.status(200).end(err.message || "true")
} else {
if(err.message) req.flash('error', err.message)
else res.redirect('/')
}
})
})(req, res, next)
}
我知道有一些奇怪的事情,比如发送状态为200,无论登录状态如何,但我可以确认序列化的用户ID是在初始登录XHR请求时写入会话的,并且在后续的XHR上没有反序列化请求。
正如我相信我提到的,我在这个领域相对缺乏经验,并且可能会非常有用。任何帮助都会非常感谢,提前谢谢。
答案 0 :(得分:0)
那对我很有帮助 首先
app.use(express.static(__dirname + '/public', { maxAge: oneDay }));
并更新函数以不触发数据库
passport.serializeUser( (user, done) => {
var sessionUser = { id: user.dataValues.id, fio: user.dataValues.fio, email: user.dataValues.localemail, role: user.dataValues.role, login: user.dataValues.login, position: user.dataValues.position }
done(null, sessionUser)
})
passport.deserializeUser( (sessionUser, done) => {
// The sessionUser object is different from the user mongoose collection
// it's actually req.session.passport.user and comes from the session collection
done(null, sessionUser)
})
https://www.airpair.com/express/posts/expressjs-and-passportjs-sessions-deep-dive