非常基本的问题,但我可能会错过大局中非常重要的事情。 使用JWT auth时,我无法弄清楚是否需要passport.js。大多数例子都有它,但我没有看到需要。
在我的应用程序中,有一个/ login路由,一旦用户成功验证(本地验证,我检查用户,数据库中的一个哈希对)我创建一个带有用户ID的令牌,设置到期,签名并将其作为响应中的cookie发回。然后我检查req cookie,解密,如果它们包含用户ID但未过期,我认为请求已经过身份验证。 (只有当流量改变时,流量才是https)
我在这里做错了,因为我没有护照等吗?