我正在使用express-session和Passport.js(本地策略)对简单的Web应用程序进行身份验证。
因此,当我以不同的用户身份登录时检查请求标头时,我会看到与Cookie值相同的会话ID:
Cookie: connect.sid="some_encrypted_string"
Cookie是否对每个用户来说都是唯一的?
以下是为会话和Passport身份验证完成的配置:
Express会话中间件:
app.use(session({
secret: 'somekey',
resave: true,
saveUninitialized: true
}));
护照配置:
const LocalStrategy = require('passport-local');
const bcrypt = require('bcryptjs');
const User = require('../models/user');
module.exports = function(passport) {
passport.use(new LocalStrategy({usernameField: 'email'},
(email, password, done) => {
// Match User
User.findOne({
email: email
}).then(user => {
if(!user) {
return done(null, false, {message: 'No user found'});
}
// Match Password
bcrypt.compare(password, user.password, (err, isMatch) => {
if(err) throw err;
if(isMatch) {
return done(null, user);
} else {
return done(null, false, {message: 'Password Incorrect'});
}
});
}).catch(err => console.log(err));
}));
// Sessions
passport.serializeUser(function(user, done) {
done(null, user.id);
});
passport.deserializeUser(function(id, done) {
User.findById(id, function(err, user) {
done(err, user);
});
});
}
登录请求:
router.post('/login', (req, res, next) => {
passport.authenticate('local', {
successRedirect: '/ideas',
failureRedirect: '/users/login',
failureFlash: true
})(req, res, next);
});
我是否遗漏了任何东西,或者我的身份验证概念不正确?