Что делает промежуточное ПО Passport.session ()?

Я создаю систему аутентификации, используя Passport.js, используя Easy Node Authentication: Setup и Local tutorial .

Я не понимаю, что passport.session()делает.

Поигравшись с различным промежуточным программным обеспечением, я понял, что express.session()это то, что отправляет идентификатор сеанса через файлы cookie клиенту, но я не понимаю, что passport.session()делает и почему это требуется в дополнение к express.session().

Вот как я настроил свое приложение:

// Server.js настраивает приложение и настраивает веб-сервер

//importing our modules
var express = require('express');
var app = express();
var port = process.env.PORT || 8080;
var mongoose = require('mongoose');
var passport = require('passport');
var flash = require('connect-flash');

var configDB = require('./config/database.js');

//Configuration of Databse and App

mongoose.connect(configDB.url); //connect to our database

require('./config/passport')(passport); //pass passport for configuration

app.configure(function() {

    //set up our express application

    app.use(express.logger('dev')); //log every request to the console
    app.use(express.cookieParser()); //read cookies (needed for auth)
    app.use(express.bodyParser()); //get info from html forms

    app.set('view engine', 'ejs'); //set up ejs for templating

    //configuration for passport
    app.use(express.session({ secret: 'olhosvermelhoseasenhaclassica', maxAge:null })); //session secret
    app.use(passport.initialize());
    app.use(passport.session()); //persistent login session
    app.use(flash()); //use connect-flash for flash messages stored in session

});

//Set up routes
require('./app/routes.js')(app, passport);

//launch
app.listen(port);
console.log("Server listening on port" + port);

passport.session() действует как промежуточное программное обеспечение для изменения объекта req и изменения значения 'user', которое в настоящее время является идентификатором сеанса (из клиентского файла cookie), на истинный десериализованный объект пользователя.

Хотя в других ответах есть несколько хороших моментов, я подумал, что можно представить более конкретные детали.

app.use(passport.session());

эквивалентно

app.use(passport.authenticate('session'));

Где «сессия» относится к следующей стратегии, которая связана с паспортомJS.

https://github.com/jaredhanson/passport/blob/master/lib/strategies/session.js

В частности, строки 59-60:

var property = req._passport.instance._userProperty || 'user';
req[property] = user;

Где он, по сути, действует как промежуточное ПО и изменяет значение свойства user в объекте req, чтобы содержать десериализованную личность пользователя. Чтобы разрешить это , чтобы работать правильно , вы должны включать в себя serializeUserи deserializeUserфункции в пользовательском коде.

passport.serializeUser(function (user, done) {
    done(null, user.id);
});

passport.deserializeUser(function (user, done) {
    //If using Mongoose with MongoDB; if other you will need JS specific to that schema.
    User.findById(user.id, function (err, user) {
        done(err, user);
    });
});

Это найдет правильного пользователя из базы данных и передаст его в качестве закрывающей переменной в обратный вызов, done(err,user);чтобы приведенный выше код в passport.session()может заменить значение 'user' в объекте req и перейти к следующему промежуточному программному обеспечению в куче.

Из документации

В приложении на основе Connect или Express для инициализации Passport требуется промежуточное программное обеспечение Passport.initialize (). Если ваше приложение использует постоянные сеансы входа в систему, также необходимо использовать промежуточное ПО Passport.session ().

и

сессии

В типичном веб-приложении учетные данные, используемые для аутентификации пользователя, передаются только во время запроса на вход. Если аутентификация прошла успешно, сеанс будет установлен и поддерживаться с помощью файла cookie, установленного в браузере пользователя.

Каждый последующий запрос будет содержать не учетные данные, а уникальный файл cookie, который идентифицирует сеанс. Для поддержки сеансов входа в систему Passport будет сериализовать и десериализовать пользовательские экземпляры в сеанс и обратно.

и

Обратите внимание, что включение поддержки сеанса является совершенно необязательным, хотя рекомендуется для большинства приложений. Если этот параметр включен, обязательно используйте express.session () перед паспортом .session (), чтобы убедиться, что сеанс входа в систему восстановлен в правильном порядке.

Хотя вы будете использовать PassportJsдля проверки пользователя как часть URL-адреса для входа в систему, вам все равно понадобится какой-то механизм для хранения этой информации о пользователе в сеансе и извлечения ее с каждым последующим запросом (т.е. сериализовать / десериализовать пользователя).

Таким образом, вы аутентифицируете пользователя с каждым запросом, даже если для этой аутентификации не нужно искать базу данных или oauth, как в ответе на вход. Таким образом, паспорт будет рассматривать аутентификацию сеанса также как еще одну стратегию аутентификации.

И чтобы использовать эту стратегию - которая названа session, просто используйте простой ярлык - app.use(passport.session()). Также обратите внимание, что эта конкретная стратегия потребует от вас реализации функций сериализации и десериализации по очевидным причинам.

Он просто аутентифицирует сеанс (который заполняется express.session()). Это эквивалентно:

passport.authenticate('session');

как можно увидеть в коде здесь:

https://github.com/jaredhanson/passport/blob/42ff63c/lib/authenticator.js#L233