password.session（）中间件有什么作用？

我正在使用Passport.js使用“ 简易节点身份验证：设置和本地”教程构建身份验证系统。

我对做什么感到困惑passport.session()。

在使用了不同的中间件之后，我逐渐了解到这express.session()是通过cookie向客户端发送会话ID的原因，但是passport.session()除了之外，我对做什么以及为什么需要它感到困惑express.session()。

这是我设置应用程序的方式：

// Server.js配置应用程序并设置Web服务器

//importing our modules
var express = require('express');
var app = express();
var port = process.env.PORT || 8080;
var mongoose = require('mongoose');
var passport = require('passport');
var flash = require('connect-flash');

var configDB = require('./config/database.js');

//Configuration of Databse and App

mongoose.connect(configDB.url); //connect to our database

require('./config/passport')(passport); //pass passport for configuration

app.configure(function() {

    //set up our express application

    app.use(express.logger('dev')); //log every request to the console
    app.use(express.cookieParser()); //read cookies (needed for auth)
    app.use(express.bodyParser()); //get info from html forms

    app.set('view engine', 'ejs'); //set up ejs for templating

    //configuration for passport
    app.use(express.session({ secret: 'olhosvermelhoseasenhaclassica', maxAge:null })); //session secret
    app.use(passport.initialize());
    app.use(passport.session()); //persistent login session
    app.use(flash()); //use connect-flash for flash messages stored in session

});

//Set up routes
require('./app/routes.js')(app, passport);

//launch
app.listen(port);
console.log("Server listening on port" + port);

passport.session() 充当中间件来更改req对象，并将当前作为会话ID的“ user”值（来自客户端cookie）更改为真正的反序列化用户对象。

虽然其他答案也有一些好处，但我认为可以提供一些更具体的细节。

app.use(passport.session());

相当于

app.use(passport.authenticate('session'));

其中“会话”指的是与passwordJS捆绑在一起的以下策略。

https://github.com/jaredhanson/passport/blob/master/lib/strategies/session.js

特别是第59-60行：

var property = req._passport.instance._userProperty || 'user';
req[property] = user;

它实际上充当中间件，并更改req对象中“ user”属性的值以包含用户的反序列化身份。为了使其正常工作，您必须在自定义代码中包含serializeUser和deserializeUser函数。

passport.serializeUser(function (user, done) {
    done(null, user.id);
});

passport.deserializeUser(function (user, done) {
    //If using Mongoose with MongoDB; if other you will need JS specific to that schema.
    User.findById(user.id, function (err, user) {
        done(err, user);
    });
});

这将从数据库中找到正确的用户，并将其作为闭包变量传递到回调中，done(err,user);因此中的上述代码passport.session()可以替换req对象中的“ user”值，并传递到堆中的下一个中间件。

从文档中

在基于Connect或Express的应用程序中，需要使用password.initialize（）中间件来初始化Passport。如果您的应用程序使用持久登录会话，则还必须使用passport.session（）中间件。

和

届会

在典型的Web应用程序中，用于认证用户的凭据仅在登录请求期间传输。如果验证成功，将通过用户浏览器中设置的cookie建立并维护会话。

每个后续请求将不包含凭据，而是标识会话的唯一cookie。为了支持登录会话，Passport会将用户实例与会话进行序列化和反序列化。

和

请注意，启用会话支持是完全可选的，尽管建议将其用于大多数应用程序。如果启用，请确保在使用password.session（）之前使用express.session（），以确保以正确的顺序还原登录会话。

当您将使用 PassportJs用于验证用户的登录URL的一部分，但是您仍然需要某种机制来将该用户信息存储在会话中，并在以后的每个请求中进行检索（即序列化/反序列化用户）。

因此，实际上，您正在使用每个请求对用户进行身份验证，即使此身份验证不需要像登录响应中那样查找数据库或oauth。因此，护照还将会话身份验证也视为另一种身份验证策略。

要使用此策略（即命名策略）session，只需使用一个简单的快捷方式即可app.use(passport.session())。还请注意，出于明显的原因，该特定策略将希望您实现序列化和反序列化功能。

它只是对会话进行身份验证（由填充express.session()）。它等效于：

passport.authenticate('session');

如此处的代码所示：

https://github.com/jaredhanson/passport/blob/42ff63c/lib/authenticator.js#L233