0

我目前使用 Node & Express 来构建我的应用程序

我的身份验证功能如下所示:

exports.isAuthenticatedLocal = function(req, res, callback) {
    // console.log(req.headers);
        if (req.isAuthenticated()) {
            callback(null, true);
        } else {
            res.redirect('/login');
        }
};

这在我的用户路由器中调用:

router.get('/profile', authController.isAuthenticatedLocal, function(req, res) {
    res.render('profile', { user : req.user });
});

这样一切都可以与从浏览器呈现的个人资料页面一起使用。但是,如果用户登录并发布对整个页面的GET请求,localhost/profile则将返回所有用户详细信息。

问题是我正在使用connect-mongo持久的护照连接。

var MongoStore = require('connect-mongo')(session);

...

var sessionStore = new MongoStore({ mongooseConnection: db.connection });

app.use(session({
        key: 'connect.sid',
        secret: 'secret',
        store: sessionStore,
        resave: true,
        saveUninitialized: true
}));

使用简单会话不会req.isAuthenticated()从非浏览器GET请求触发,而是呈现我重定向到的登录页面(这很好)。

app.use(session({
        key: 'connect.sid',
        secret: 'secret',
        resave: true,
        saveUninitialized: true
}));

那么,我怎样才能保持与 connect-mongo 的持久连接并防止用户通过身份验证的所有页面被呈现?我应该寻找一个特定的标题吗?

提前致谢。

4

1 回答 1

1

您可以查看用户代理标头,看看它是否是浏览器。您可以使用express-useragent 之类的东西来帮助您。

User-Agent 标头不是必需的,可以被欺骗,因此不应被视为绝对真理。

我不认为你的路线应该表现不同,这取决于它认为客户是什么或不是什么。您应该有一个用于页面渲染的路由,以及一个用于原始数据的不同路由。

于 2016-05-06T13:53:41.753 回答