我有一个有效的登录功能,可以正确验证和保存。然而,express 永远不会记住旧的 session ,它总是为每个网络请求创建一个新的 session 。
显然,Passport 对 express 中间件的初始化顺序极其敏感。 (例如:https://www.airpair.com/express/posts/expressjs-and-passportjs-sessions-deep-dive)。我根据许多示例检查了我的配置,并将其重新排列为这样是否有帮助,但它并没有移动我的错误。要么这不是问题,要么我只是还没有找到配置 chalice 。这是我当前的配置:
快速配置
app.engine('html', require('ejs').renderFile);
app.set('view engine', 'html');
app.use(express.static(path.join(config.root, '/views')));
app.set('views', config.root + '/views');
var sessionOpts = {
saveUninitialized: true,
resave: false,
store: new RedisStore({
host: 'localhost',
port: 6379
}),
secret: 'keyboard',
cookie: {
httpOnly: true,
maxAge: 1000
}
}
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({
extended: false
}));
app.use(cookieParser('keyboard'));
app.use(session(sessionOpts));
app.use(passport.initialize());
app.use(passport.session());
app.use(cors());
require('./routes/router.js')(app, passport);
Passport 配置
passport.use('local-login', new LocalStrategy({
usernameField: 'email',
passwordField: 'password',
passReqToCallback: true
},
function(req, username, password, done) {
client.hgetall(username, function(err, reply) {
if (err) {
return done(err);
}
if (!reply) {
return done(null, false, {
message: 'Incorrect username.'
})
}
if (reply.password !== password) {
return done(null, false, {
message: 'Incorrect password.'
})
}
return done(null, reply)
})
}));
Passport 是否需要为 Redis 提供支持? Redis session 存储在“sess”文件夹中,其 key 如下:sess:RhodmaK2V2wDNLglV5j1B6rC。我发现的所有教程都是关于 Mongo 的,所以我不确定在查找时是否需要以某种方式包含 session key 。在 session 条目中,它正确地存储在 Passport 的标准 cookie 形式中:req.session.passport.user
有什么方法可以查看 Passport 初始化内部发生的情况吗?在随后的请求中,它应该这样做:“我们设置的通用 Passport 中间件(passport.initialize)在请求中被调用,它发现 passport.user 附加到 session 。如果没有(用户尚未通过身份验证) ) 它像 req.passport.user = {} 一样创建它。”请参阅“后续经过身份验证的请求流程”- http://toon.io/understanding-passportjs-authentication-flow/我强烈怀疑我的问题在于那一步,所以能够看到它的内部会很好。
一些有趣的花絮:
- Passport 从未调用过 deserializeUser。我想永远不会
达到那个点。 - 我已经检查了关于这个问题的其他 StackOverflow 问题, 但这些解决方案都不适合我。
- 我检查了新 session 是否由任何静态资源生成,但事实并非如此。它仅用于有意的服务器请求。在没有它们的页面上,不会创建新 session 。
- 所有 session 都具有填充的或空的 req.session.passport 属性。
最佳答案
每个请求的 session ID 可能不同,因为您将 cookie 设置为 1 秒后过期。 cookie.maxAge 以毫秒为单位:
cookie: {
httpOnly: true,
maxAge: 1000
}
编辑:我还必须提醒您以明文形式存储密码。不要这样做 ;)
关于node.js - Passport.js/Express.js 在每个网络请求上创建新 session ,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/30232300/