【发布时间】:2015-08-08 13:41:28
【问题描述】:
我正在使用 node.js、express、express-session 和 passport.js 来处理我的项目中的身份验证。在我的 routes.js 中,我处理这样的获取请求:
app.get('...', isLoggedIn, function(req, res, next) {
var user = req.user;
...
});
在函数内部,我可以从请求参数中获取用户。我的问题是用户对象来自哪里?用户对象是否传递给客户端并返回?客户端可以更改用户对象以尝试将代码注入我的数据库吗?
提前致谢!
【问题讨论】:
-
一些关于
req.user来自哪里的基本信息可以在Passport.js docs找到。 -
虽然您的问题已经得到解答,但我建议使用 Wireshark 等数据包嗅探器来全面了解您的浏览器和应用程序之间的关系。
标签: node.js express passport.js express-session