如何在express + passport js中删除注销时的cookie？答案

【问题标题】：how to delete cookie on logout in express + passport js?如何在express + passport js中删除注销时的cookie？
【发布时间】：2016-01-11 18:32:13
【问题描述】：

我想“在注销时删除 cookie”。我无法做到这一点。我搜索了答案并找到了以下方法：

为 cookie 分配新的到期日期

res.cookie('connect.sid', '', {expires: new Date(1), path: '/' });
使用以下行删除 cookie

res.clearCookie('connect.sid', { path: '/' });

我分别尝试了这两种方法，但他们没有删除 cookie。

这是我的代码：

routes.js

module.exports = function(app, passport, session){
    app.get('/', function(req, res)
    {
       res.render('index.ejs');
    });

    app.get('/login', function(req,res){
     res.render('login.ejs',{message:req.flash('loginMessage')});
    });


    app.get('/signup',checkRedirect , function(req, res) {
        res.render('signup.ejs',{message: req.flash('signupMessage')});
    });
    app.get('/profile', isLoggedIn, function(req,res) {
        res.render('profile.ejs', {
            user :req.user
        });
    });
    app.post('/signup', passport.authenticate('local-signup', {
        successRedirect : '/profile',
        failureRedirect : '/signup',
        failureFlash : true
    }));
    app.post('/login',  passport.authenticate('local-login', {

        successRedirect : '/profile',
        failureRedirect : '/login',
        failureFlash :true

    }));
app.get('/logout',function(req,res){
    res.cookie('connect.sid', '', {expires: new Date(1), path: '/' });
   req.logOut();
    res.clearCookie('connect.sid', { path: '/' });
    res.redirect('/');
});

function isLoggedIn(req, res, next){

    if(req.isAuthenticated())
      return next();

    console.log("hiii");
    res.redirect('/');
}

};

server.js

    var express = require('express');
var app = express();
var port = process.env.PORT || 3000;
var mongoose = require('mongoose');
var passport = require('passport');
var flash=require('connect-flash');
var morgan=require('morgan');
var bodyParser = require('body-parser');
var cookieParser=require('cookie-parser');
//
var session=require('express-session');
var RedisStore = require('connect-redis')(session);
var redis   = require("redis");
var redis_client  = redis.createClient();
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({extended: true}));
var configDb=require('./config/database.js');
mongoose.connect(configDb.url);

require('./config/passport')(passport);

app.use(morgan('dev'));
app.use(cookieParser());
app.use(bodyParser());
app.set('view engine', 'ejs');


app.use(session({
    store: new RedisStore({
    host: '127.0.0.1',
    port: 6379,
    client: redis_client
}),
    secret : 'foo',
    resave: false,
    saveUninitialized: false
}));
app.use(function (req, res, next) {
    if (!req.session) {
        return next(new Error('oh no')); // handle error
    }
    next();
});


});

app.use(passport.initialize());
app.use(passport.session());
app.use(flash());

require('./app/routes')(app, passport, session);
app.listen(port, function(){
    console.log('server is at port' + port);
});

【问题讨论】：

标签： javascript node.js cookies express passport.js

【解决方案1】：

res.clearCookies 有点乱。作为替代方案，再次调用 res.cookie 并使用您最初用于创建 cookie 的任何选项以及 expires: new Date(1)，如下所示：

// Use the same httpOnly, secure, sameSite settings to "delete" the cookie
res.cookie("jwt", "", {
    httpOnly: true, 
    secure: true,
    sameSite: "none",    
    expires: new Date(1)
});

实际上，您是在用一个立即过期的新 cookie 替换旧 cookie。

【讨论】：

【解决方案2】：

我自己也在努力解决这个问题。以前我尝试过logout 和session.destroy，但没有一个对我有用。然后我发现上面的答案加上clearCookie，就成功了。

但是，我想知道这些功能是否有任何效果，因为没有clearCookie 他们没有。所以我省略了它们。

另外，由于 status(200) 被 redirect 覆盖（将状态设置为 302），我想我也会忽略它。

至于Will59's solution 中clearCookie 的选项，它们看起来无论如何都可能是默认值，所以我也尝试省略它们。

我最终得到了下面两行代码。他们使用 Chrome、Firefox 和 Safari（撰写本文时的最新版本）为我工作。

router.get('/logout', function (req, res) {
  res.clearCookie('connect.sid');
  res.redirect('/');
});

【讨论】：

【解决方案3】：

pjiaquan 对我来说没有铬，饼干还在。问题来自 res.clearCookie 方法，如http://expressjs.com/en/api.html 中所述：

Web 浏览器和其他兼容客户端仅在给定选项与 res.cookie() 提供的选项相同时才会清除 cookie，不包括 expires 和 maxAge。

在我的情况下，解决方案最终是：

router.get('/logout', function (req, res) {
  req.logOut();
  res.status(200).clearCookie('connect.sid', {
    path: '/',
    secure: false,
    httpOnly: false,
    domain: 'place.your.domain.name.here.com',
    sameSite: true,
  });
  req.session.destroy(function (err) {
    res.redirect('/');
  });
});

【讨论】：

【解决方案4】：

请试试这个：

router.get('/logout', function (req, res) {
  req.logOut();
  res.status(200).clearCookie('connect.sid', {
    path: '/'
  });
  req.session.destroy(function (err) {
    res.redirect('/');
  });
});

【讨论】：

只是好奇，如果我们正在清除cookie，为什么我们需要销毁会话？如果浏览器没有cookie，那么客户端会丢失该会话，对吗？还是为了安全和节省内存，我们可以自行销毁会话？比如删除redis中的数据等
另外，我认为 status 是多余的，正如另一个答案中提到的那样，因为无论如何重定向都将其设置为 302。也不需要path:'/'。 clearCookie 默认采用 path:'/'

【解决方案5】：

所以这里的建议都没有对我有用，直到我意识到我在做一个愚蠢的事情：

使用 Github，我设置了一个 OAuth 应用程序（您可以在您的个人资料设置中执行此操作），并将其用于身份验证。

很有魅力！但它总是给我发回相同的个人资料，即使我从我的应用程序中注销也是如此。清除所有浏览器存储并不能解决问题。

然后我突然意识到我仍然登录到我的 github 帐户（这是我一直得到的配置文件）...一旦我退出该帐户，OAuth 应用程序就会再次提示我输入我的用户/密码.

【讨论】：

【解决方案6】：

您可以在注销路由中使用 req.session.destroy 来销毁会话，下面是参考代码:)

app.get('/logout', function(req,res){
 req.logOut();
 req.session.destroy(function (err) {
        res.redirect('/'); //Inside a callback… bulletproof!
    });
});

【讨论】：

这也应该破坏浏览器中的 sid cookie 吗？
是的，我想是的，为什么不删除cookie？？
这也不起作用。注销后，sid 也保持不变。它既不会改变也不会被删除。我认为这是造成的。有没有改进的技术？
@SudhanshuGaur 它没有在客户端删除 cookie