一尘不染

如何正确使用Passport.js?

node.js

我在用 :

  • Node.js
  • Express 4.0
  • Passport.js
  • Google OAuth 2身份验证

对于每个用户,我将其Google个人资料中的一些信息(电子邮件等…)存储在MySQL数据库中(我对此技术没有选择),访问和刷新令牌以及用户在提供信息时提供的其他信息他在我的应用上注册。

我已经看到了password.js的不同用法,特别是关于该信息在会话中的存储方式。

  1. passport.js的配置页面上,我不太了解以下代码块的要点:
        passport.deserializeUser(function(id, done) {
      User.findById(id, function(err, user) {
        done(err, user);
      });
    });

基本上,每次用户发出请求或访问页面时,都会向数据库发送请求,并检索信息。有什么意义呢?这会大大降低应用程序的速度。serializeUser调用时(即,当信息存储在会话中时)是否不应该从数据库中检索信息?

  1. 我已经读到,在其中存储 太多 信息session会使应用程序变慢。什么是“太多”?应用程式会减慢多少?有人知道某处是否有测试吗?我的应用程序页面需要有关用户的另一组数据(例如,主页只需要其姓名,而个人资料页面将需要所有内容,另一个页面将需要知道他拥有哪些汽车等)。我应该存储在所有这些信息sessionpassport.authenticate,如果用户在DB(从而限制读取请求的DB到大约一)存在的检查,或仅在会话他的ID存储,并有我的网页做必要时其它附加请求到DB?

  2. 我遇到的另一个问题:在注册过程中,我首先让用户登录他的Google帐户,将他的个人资料的详细信息存储在 某个地方 ,请他填写其他信息的表格,然后将所有内容插入数据库。问题是,在将Google帐户详细信息插入数据库之前,我不知道如何正确存储它们。目前,我将它们存储在中session,然后在插入成功后将其删除。更具体地说,当在数据库中找不到现有用户时,在passport.authenticate回调中执行以下操作:

    return done(null,false,userInfo);
    

因此,该用户未通过身份验证,并且有两个问题:我必须将其存储在userInfo某个位置,直到该用户注册为止,并且必须req.login()在注册完成后使用“手动”方式登录他。

我应该在他登录自己的Google帐户后立即对其进行身份验证吗?如果他不完成​​注册,那会不会对我造成安全问题?

  1. 最后,我已经阅读了有关使用Reddis的信息。这对这些问题有帮助吗?

非常感谢你 !


阅读 778

收藏
2020-07-07

共1个答案

一尘不染

1)serializeUser正在过滤数据并将其存储在会话cookie中。如果可以的话,通常在Cookie中的存储量较少。无论如何,您都将调用db来获取有关用户的数据,因此您可以仅存储用于检索和重建用户的ID,如在deserializeUser中所示。

客户端将cookie中的请求提供给服务器,服务器将cookie反序列化为数据,解密cookie内容或从数据库中检索用户数据。然后,响应返回到服务器,对客户端数据进行序列化,清除您不会存储在cookie中的内容,并将其放入db中,仅在cookie中保留一个ID。

如果您要进行加密,则可以通过运行多台需要解密数据的机器来扩展规模,这很容易搞砸(不是很困难,但是不必要的复杂性)

最好仅在cookie中放置未加密的数据,并且cookie中的任何内容都可以为用户增加额外的带宽使用量。

2)数据库调用应该非常快,如果不是这样,无论如何,您将在其他地方遇到痛苦的用户体验。换句话说,我的强烈观点是,有一个压倒一切的观点是远离cookie。

考虑到cookie是随每个请求一起发送的;这样会更明智,而不是将数据推送到会话中并使其增加开销,而是在用户发出请求后暂时将用户数据加载(缓存)一会儿,然后既没有数据库调用也没有cookie的开销当用户积极访问您的网站时。

老实说,您一开始应该没有缓存就可以。专注于以最小的复杂度启动您的应用程序。这样,您可以根据用户反馈更快地对其进行修改,并且错误更少。

3)当我玩护照时,我遇到了类似的问题。我会让护照完成其工作,并向用户授予护照级别的验证(是的,他们已经登录),然后分别进行更多的数据收集。如果您担心安全性,请确保此护照级别的验证未完全登录,并且在升级到完全登录之前需要更多数据。

我可能对此一无所知,但这是我的建议。

4)Redis适用于您有多个节点实例并想在内存中存储某些内容(例如计数器或缓存的用户数据)的情况。这样,您就不会在节点代码中保留用于保存有关用户的缓存数据的变量,而当用户回来时,另一个节点实例将无法利用该变量,而负载均衡器会将它们射向另一个实例。
http://www.ourdailycodes.com/2013/09/redis-when-should-i-use-
it.html

编辑:我应该添加该会话使用cookie,但只能为用户提供服务器可以理解的唯一令牌,以便在接收到带有会话令牌的连接时服务器可以重新收集用户的会话数据。我的理解是,这通常是Session工作的正确方式…但是,具体取决于实现方式(如果我在这里错了,请纠正我)。

2020-07-07