【发布时间】:2016-04-14 11:32:11
【问题描述】:
我正在考虑使用 express-session 为通过 OAuth 2 提供者身份验证的用户存储访问令牌,并为客户端应用程序提供安全签名的 cookie。
据我了解,然后我可以在会话存储服务器端(例如 mongodb)的后续请求中检索与 cookie 关联的令牌,然后我可以在请求中使用承载授权标头来使用 Express 分隔端点路线。
我遇到过 PassportJS 并试图弄清楚是否需要在我的设置中使用它。
目前我正在我的快速应用程序中处理登录 POST 请求,然后使用资源所有者密码凭据授予类型请求流发出访问令牌请求。这工作正常,我从提供商处收到了访问令牌以及刷新令牌和到期时间。
据我所知,PassportJS 为各种提供者提供了身份验证策略,但我不确定它是否支持在我的案例中使用的授权类型。另外,我已经在做请求和接收令牌的工作了,所以不确定 PassportJS 在这里对我有多大好处。
通过阅读 express-session 文档,我认为这将为我提供所需的一切,而且我可以根据从 api 网关返回的令牌到期时间设置 cookie 到期时间。
我认为 PassportJS 位于 express 会话之上,并且只是访问 express 生成的会话,对吗?
【问题讨论】:
标签: node.js express passport.js express-session