express.js,passports.js:为什么共享会话?

时间:2013-06-02 17:47:58

标签: node.js express passport.js

尝试使用express.js和passport.js设置身份验证。 好吧,可能是愚蠢的问题,但我不明白这些东西是如何运作的。

我设置了facebook策略,现在可以使用facebook来识别用户。我坚持的是:

如果我在一个客户端(浏览器)上对用户进行身份验证,则会在发出请求的所有其他客户端上对其进行身份验证。这是为什么?我怎么配置快递和护照才能在生产中正确安全地使用它?

我的快递配置:

app.use(express.bodyParser());
app.use(express.methodOverride());

app.use(express.cookieParser());
app.use(express.session({ secret: 'secret' }));

app.use(passport.initialize());
app.use(passport.session());
app.use(app.router);
app.use(express.static('public')); 

不要真正得到所有认证的东西。客户端经过身份验证后是否应该出现一些cookie?

UPD:

护照配置:

passport.serializeUser(function(user, done) {
    done(null, user._id);
});

passport.deserializeUser(function(id, done) {
    User.findById(id, function(err, user) {
        done(err, user);
    });
});


passport.use(new FacebookStrategy({
        clientID: nconf.get('facebook:appId'),
        clientSecret: nconf.get('facebook:appSecret'),
        callbackURL: nconf.get('facebook:callbackUrl')
    },
    function(accessToken, refreshToken, profile, done) {
        User.findOrCreateExternal(profile, done)
    }
));

路线

app.get('/api/users/facebook', users.facebookLogin);
app.get('/api/v1/users/facebook/callback', users.facebookLoginCallback);

操作:

    facebookLogin: function(req, res, next){            
        return passport.authenticate('facebook', {
            scope: nconf.get('facebook:permissions')
        })(req, res, next)
    },

    facebookLoginCallback: function(req, res, next){
        return passport.authenticate('facebook', {
            successRedirect: process.env.FB_SUCCESS_REDIRECT,
            failureRedirect: process.env.FB_FAILURE_REDIRECT

        })(req, res, next)
    },

UPD2:

获取当前经过身份验证的用户的路由和操作:

app.get('/api/users/logged', users.getLoggedInUser)

行动代码:

getLoggedInUser: function(req,res){
    //Currently last authenticated user is send to all clients that make requests.
    res.send({user: req.user || false})
}

1 个答案:

答案 0 :(得分:0)

问题在于我正在使用中间开发Web服务器(用于提供开发资产,livereload等),它错误地将http请求传递给api服务器。