Ce n'passeport.session() middleware faire?

Je suis la construction d'un système d'authentification à l'aide de Passport.js à l'aide de Facile Nœud d'Authentification: le programme d'Installation et Locales tutoriel.

Je suis confus au sujet de ce passport.session() n'.

Après avoir joué avec les différents middleware j'en suis venu à comprendre que express.session() est ce qui envoie un ID de session sur les cookies pour le client, mais je suis confus au sujet de ce passport.session() fait et pourquoi il est nécessaire, en plus express.session().

Voici comment j'ai configuré ma demande:

//Server.js configure l'application et met en place le serveur web

//importing our modules
var express = require('express');
var app = express();
var port = process.env.PORT || 8080;
var mongoose = require('mongoose');
var passport = require('passport');
var flash = require('connect-flash');

var configDB = require('./config/database.js');

//Configuration of Databse and App

mongoose.connect(configDB.url); //connect to our database

require('./config/passport')(passport); //pass passport for configuration

app.configure(function() {

    //set up our express application

    app.use(express.logger('dev')); //log every request to the console
    app.use(express.cookieParser()); //read cookies (needed for auth)
    app.use(express.bodyParser()); //get info from html forms

    app.set('view engine', 'ejs'); //set up ejs for templating

    //configuration for passport
    app.use(express.session({ secret: 'olhosvermelhoseasenhaclassica', maxAge:null })); //session secret
    app.use(passport.initialize());
    app.use(passport.session()); //persistent login session
    app.use(flash()); //use connect-flash for flash messages stored in session

});

//Set up routes
require('./app/routes.js')(app, passport);

//launch
app.listen(port);
console.log("Server listening on port" + port);
InformationsquelleAutor Georges Krinker | 2014-02-26
  1. 104

    passport.session() agit comme un middleware pour modifier la req objet et modifier l '"utilisateur" valeur qui est actuellement l'id de session (à partir du client cookie) dans la vraie désérialisé objet utilisateur.

    Tandis que les autres réponses de quelques bons points, je pense que certains des détails plus précis pourraient être fournis.

    app.use(passport.session());

    est équivalent à 

    app.use(passport.authenticate('session'));

    Où "session" se réfère à la stratégie suivante qui est fourni avec passportJS.

    https://github.com/jaredhanson/passport/blob/master/lib/strategies/session.js

    Spécifiquement lignes 59-60:

    var property = req._passport.instance._userProperty || 'user';
req[property] = user;

    Où elle agit comme un middleware et modifie la valeur de l '"utilisateur" de la propriété dans le req objet pour contenir la désérialisé identité de l'utilisateur. Pour permettre cela fonctionne correctement, vous devez inclure serializeUser et deserializeUser fonctions dans votre code personnalisé.

    passport.serializeUser(function (user, done) {
    done(null, user.id);
});

passport.deserializeUser(function (user, done) {
    //If using Mongoose with MongoDB; if other you will need JS specific to that schema.
    User.findById(user.id, function (err, user) {
        done(err, user);
    });
});

    Cela permettra de trouver le bon utilisateur de la base de données et de le passer comme une fermeture de la variable dans la fonction de rappel done(err,user); donc le code ci-dessus dans le passport.session() peut remplacer l '"utilisateur" de la valeur dans le registre de l'objet et de le transmettre à la prochaine middleware dans le tas.

    • hey, comment puis-je stocker les détails de l'utilisateur en session seulement, je ne veux pas les stocker dans la base de données dirctly
    • "dans les en-têtes de requête" ? pas seulement dans l'objet de requête
    • J'ai remarqué que si la session de stratégie est en mesure de restaurer la auth et désérialiser l'utilisateur. Mais malgré que l'authentification se déplace encore à la prochaine stratégie, qui est facebook auth dans mon scénario. Je me demande quel est le point de session de stratégie si elle continue à invoquer les stratégies suivantes, même lorsque la session est en mesure de récupérer l'utilisateur.
    InformationsquelleAutor lindsaymacvean
  2. 13

    De la la documentation

    Dans une vous Connecter ou Express de demande de passeport.initialize()
    le middleware est nécessaire d'initialiser Passeport. Si votre application
    utilise persistante sessions de connexion, de passeport.session() middleware doit
    également être utilisé.

    et

    Sessions

    Dans une application web standard, les informations d'identification utilisées pour authentifier un
    l'utilisateur ne seront transmises lors de la demande de connexion. Si
    l'authentification réussit, une session sera établi et maintenu
    via un cookie défini dans le navigateur de l'utilisateur.

    Chaque demande ultérieure, ne contiennent pas d'informations d'identification, mais plutôt le
    cookie unique qui identifie la session. Afin de soutenir la connexion
    sessions, Passeport va sérialiser et désérialiser des instances d'utilisateur pour
    et à partir de la session.

    et

    Noter que l'activation de la prise en charge de session est entièrement facultatif, mais il est
    recommandé pour la plupart des applications. Si l'option est activée, assurez-vous d'utiliser
    express.session() avant de passeport.session() pour vous assurer que la connexion
    la session est restauré dans le bon ordre.

    • Je vous remercie pour votre réponse rapide mais qui ne répond pas à ma question. Notez également que si vous avez une demande expresse et utiliser l'express.session(), sur tous les clients qui se connecte à votre express serveur (s'il est authentifié ou non), il sera donné à une session via un cookie. Qui est indépendant s'il est dans une connexion protégée page de votre application ou pas. J'aimerais savoir la différence entre les deux middleware.
    • c'est le serializeUser() et deserializeUser méthodes. L'express middleware permettra de restaurer les informations de la session, mais ce n'est pas nécessairement liée à la façon dont le passeport est la gestion de l'info utilisateur. Ce qui doit être fait après la session est réhydraté par l'express.
    • Eh bien, j'étais sous l'impression que les serializeUser() et deserializeUser méthodes couru sur authenticate() à l'intérieur des itinéraires.
    • Je ne le pense pas. Lorsque j'ai utilisé le passeport, je ne l'ai appelée .s'authentifier sur connexion.
    • app.post('/login', passport.authenticate('local'), ...
    InformationsquelleAutor Josh C.
  3. 10

    Alors que vous serez en utilisant PassportJs pour la validation de l'utilisateur dans le cadre de votre URL de connexion, vous avez encore besoin d'un mécanisme pour stocker ces informations d'utilisateur dans la session, et de la récupérer à chaque requête (c'est à dire sérialiser/désérialiser l'utilisateur).

    Donc en effet, vous êtes l'authentification de l'utilisateur avec chaque demande, même si cette authentification n'a pas besoin de rechercher une base de données ou oauth comme dans la connexion de réponse. Donc, passeport traiter l'authentification de session aussi encore une autre stratégie d'authentification.

    Et à l'utilisation de cette stratégie - qui est nommé session, il suffit d'utiliser un simple raccourci - app.use(passport.session()). Notez également que cette stratégie particulière que vous pour mettre en œuvre sérialiser et désérialiser les fonctions pour des raisons évidentes.

    InformationsquelleAutor uniwalker
  4. 9

    Simplement, il authentifie la session (qui est peuplée par express.session()). C'est équivalent à:

    passport.authenticate('session');

    comme on peut le voir dans le code ici:

    https://github.com/jaredhanson/passport/blob/master/lib/authenticator.js#L236

    • Que voulez-vous dire? Il est exécuté sur chaque demande et n'a pas nécessairement toutes les informations d'identification pour l'authentification. Pourriez-vous me donner un peu plus de détails sur le flux de travail qui se passe sur chaque demande?
    • Oui, sur chaque demande. L'ID de session est généré par l'Express, est un IDENTIFIANT unique qui est à peu près équivalent à un jeton d'authentification que le navigateur envoie à chaque requête. Les données stockées dans cette session est utilisé pour restaurer la l'état de l'authentification de l'utilisateur.
    • Bonjour @JaredHanson Pourriez-vous prendre un coup d'oeil à this. Je n'ai pas trouvé la réponse nulle part?
    • Je suis en train d'utiliser passport.js pour s'authentifier avec un largement utilisé open source de serveur d'autorisation qui est OAuth2 conforme. Mais j'obtiens une erreur. Êtes-vous prêt à vous aider à résoudre le problème? Voici le lien: stackoverflow.com/questions/38176236/...
    • Ce que j'observe, c'est que le req objet augmentée avec passeport.les infos de l'utilisateur juste après la connexion via google oauth, est perdu lors de la prochaine demande pour une nouvelle page est faite sur le site. Est-ce un comportement attendu ? Alors je suis à une perte de la façon de récupérer l'a récemment enregistré dans les infos de l'utilisateur ?
    InformationsquelleAutor Jared Hanson