passport.session() 中间件有什么作用？

Question

我正在使用 Passport.js 使用 Easy Node Authentication: Setup and Local tutorial 构建身份验证系统。

我对 passport.session() 的作用感到困惑。

在玩弄了不同的中间件之后，我了解到 express.session() 是通过 cookie 向客户端发送会话 ID，但我对 passport.session() 的作用以及为什么除了 @ 之外还需要它感到困惑987654325@.

这是我设置应用程序的方式：

// Server.js 配置应用程序并设置网络服务器

//importing our modules
var express = require('express');
var app = express();
var port = process.env.PORT || 8080;
var mongoose = require('mongoose');
var passport = require('passport');
var flash = require('connect-flash');

var configDB = require('./config/database.js');

//Configuration of Databse and App

mongoose.connect(configDB.url); //connect to our database

require('./config/passport')(passport); //pass passport for configuration

app.configure(function() {

    //set up our express application

    app.use(express.logger('dev')); //log every request to the console
    app.use(express.cookieParser()); //read cookies (needed for auth)
    app.use(express.bodyParser()); //get info from html forms

    app.set('view engine', 'ejs'); //set up ejs for templating

    //configuration for passport
    app.use(express.session({ secret: 'olhosvermelhoseasenhaclassica', maxAge:null })); //session secret
    app.use(passport.initialize());
    app.use(passport.session()); //persistent login session
    app.use(flash()); //use connect-flash for flash messages stored in session

});

//Set up routes
require('./app/routes.js')(app, passport);

//launch
app.listen(port);
console.log("Server listening on port" + port);

Answer 1

来自documentation

在基于 Connect 或 Express 的应用程序中，passport.initialize() 需要中间件来初始化 Passport。如果您的应用程序 使用持久登录会话，passport.session() 中间件必须 也可以使用。

和

会话

在典型的 Web 应用程序中，用于验证 用户只会在登录请求期间传输。如果 身份验证成功，将建立并维护一个会话 通过在用户浏览器中设置的 cookie。

每个后续请求都不会包含凭据，而是 标识会话的唯一 cookie。为了支持登录 会话，Passport 将序列化和反序列化用户实例以 并从会话中。

和

请注意，启用会话支持是完全可选的，尽管它是 推荐用于大多数应用程序。如果启用，请务必使用 express.session() 在 passport.session() 之前确保登录 会话以正确的顺序恢复。

Answer 2

它只是验证会话（由express.session() 填充）。相当于：

passport.authenticate('session');

从这里的代码可以看出：

https://github.com/jaredhanson/passport/blob/42ff63c/lib/authenticator.js#L233

Answer 3

虽然您将使用PassportJs 作为登录 URL 的一部分来验证用户，但您仍然需要一些机制来将此用户信息存储在会话中并在每个后续请求中检索它（即序列化/反序列化用户） .

因此，实际上，您正在对每个请求的用户进行身份验证，即使此身份验证不需要像在登录响应中那样查找数据库或 oauth。因此，passport 将会话身份验证也视为另一种身份验证策略。

要使用这个名为 session 的策略，只需使用一个简单的快捷方式 - app.use(passport.session())。另请注意，出于显而易见的原因，此特定策略将希望您实现序列化和反序列化功能。

Answer 4

passport.session() 充当中间件来更改 req 对象并将当前作为会话 ID（来自客户端 cookie）的“用户”值更改为真正的反序列化用户对象。

虽然其他答案提出了一些很好的观点，但我认为可以提供一些更具体的细节。

app.use(passport.session());

等价于

app.use(passport.authenticate('session'));

其中“会话”指的是与 passportJS 捆绑在一起的以下策略。

这是文件的链接： https://github.com/jaredhanson/passport/blob/master/lib/strategies/session.js

在撰写本文时，permalink 指向以下行：

var property = req._passport.instance._userProperty || 'user';
req[property] = user;

它本质上充当中间件并更改 req 对象中“用户”属性的值以包含用户的反序列化身份。要使其正常工作，您必须在自定义代码中包含 serializeUser 和 deserializeUser 函数。

passport.serializeUser(function (user, done) {
    done(null, user.id);
});

passport.deserializeUser(function (user, done) {
    //If using Mongoose with MongoDB; if other you will need JS specific to that schema.
    User.findById(user.id, function (err, user) {
        done(err, user);
    });
});

这将从数据库中找到正确的用户并将其作为闭包变量传递给回调done(err,user);，因此passport.session()中的上述代码可以替换req对象中的'user'值并传递给堆中的下一个中间件。