快速身份验证重定向导致无限循环

Question

我正在尝试使用 express 在 node.js 服务器上设置护照本地身份验证。看起来它应该非常直截了当。但我卡住了。

这两个 sn-ps 可以很好地协同工作：

app.get('/', ensureAuthenticated, function(req, res){
    res.redirect('/index.html', { user: req.user });
});

app.post('/login', 
    passport.authenticate('local', { failureRedirect: '/login.html', failureFlash: true, successFlash: "Success!" }),
    function(req, res) {
    res.redirect('/');
});

问题是没有什么能阻止我在地址栏中输入“www.myurl.com/index.html”并直接放到我的页面上。

如果我使用这样的任何代码：

app.get('/index.html', ensureAuthenticated, function(req, res){
    res.redirect('/index.html', { user: req.user });
});

似乎我陷入了一个循环......如果它可以检查我的身份验证并在我的路上发送我，而不是永远检查每个重定向，那就太好了。有什么方法可以避免呢？

我注意到文档似乎使用了 .render，而不是重定向。但这似乎要求我使用 .ejs，我不希望这样做。这是必须的吗？

++供参考++

 function ensureAuthenticated(req, res, next) {
    if (req.isAuthenticated()) { return next(); }
    res.redirect('/login.html')
}

Answer 1

你为什么在每条路由上都使用重定向？你需要做的就是

app.get('/',ensureAuthenticated,function(req,res){

// your route logic goes here

});

ensureAutheticated 会检查你的代码是否经过身份验证。不需要每次通过登录路由都重定向它。

res.render 和 res.redirect() 是用于不同目的的不同事物。

Redirect 重定向到 res.render() 的路由 呈现视图。视图可以是 consolidate.js 的任何文件 supported，如果您使用的是最新版本的 express，则必须使用该文件。

因此，从您的路由中删除所有这些重定向，无限循环应该停止。您只需要通过 ensureAuthenticated 以确保请求已通过身份验证。

Answer 2

所以我猜你让express.static() 处理index.html 和login.html 的请求？在这种情况下，您可以为 index.html 创建一个路由，该路由首先检查身份验证，然后采取相应措施：

app.get('/index.html', ensureAuthenticated, function(req, res, next) {
  // if this block is reached, it means the user was authenticated;
  // pass the request along to the static middleware.
  next();
});

确保在将express.static 添加到中间件堆栈之前声明上述路由，否则它将被绕过（Express 中间件/路由按声明顺序调用，第一个匹配请求将得到处理）。

编辑：我一直忘记这是可能的，而且更干净：

app.use('/index.html', ensureAuthenticated);

（而不是上面的app.get）