ExpressJS/PassportJS:身份验证与会话

Passport不直接管理您的会话,它只是使用您的会话.因此,您将根据您使用的中间件配置会话的生命周期.使用express自己的cookie中间件,例如:

  app.use(express.session({ cookie: { maxAge: 60000 }}));

至于Passport,它不会产生任何东西.它调用您的身份验证,序列化和反序列化函数来查找,加载和重新加载用户数据.流程是这样的:

 passport.use(<new Strategy>(function(username,password,done) { }))

这接受登录表单提交,其中包含用户名和密码值,并将其传递到您的实现中.通常,数据库查找会生成传递给done(err,user)函数的用户对象(基于您的模型/实现).

现在您已经找到了一个User对象,它将被设置到请求对象上,但这只适用于该请求.会话用于序列化用户(通常是用户对象的ID),以便可以再次传入它以重新构建用户.

 my.serializeUser = function(user,done)

这是Passport传递您找到的User对象的函数.这是您构造该User的String表示并将其传递给done(err,string) Wone的地方,因为第二个参数与会话一起存储.

 my.deserializeUser = function(string,request,done)

这是您的函数,其中密钥(由serializeUser创建)传递给您.然后,您的代码使用它来检索完整的User对象(可能是该用户的ID的数据库查询),并将完整的用户对象传回.done(err,user)这将再次设置您的处理程序请求.

因此,如何序列化,反序列化和验证都取决于您.Passport提供了钩子,因此您可以以相同的方式在路径上设置身份验证要求,尽管您选择了策略.