过去几个月我一直在节点中进行开发,试图理解这个框架,现在我实际上要尝试为多个设备制作一个应用程序。
我想使用节点项目作为 api,它将处理所有 post 和 get 请求。
在另一个节点项目中,我将有一个 React Web 界面,使用 ajax 和 socket.io 与节点 api 进行通信。
在移动 android/ios 或 cordova 中,我将让移动界面按照上面的方式进行通信。
现在我已经解释了我的问题的背景,我将描述我的问题。
现在我有一个节点项目,它使用 bcrypt 来加密注册和登录的密码。我还使用通行证建立会话并发送即时消息。
router.post('/login',
passport.authenticate('local', {successRedirect:'/', failureRedirect:'/users/login',failureFlash: true}),
function(req, res) {
res.redirect('/');
});
passport.use(new LocalStrategy(
function(username, password, done) {
db_functions.getUserByEmail(username,function(error, results) {
if (error) throw error;
bcrypt.compare(password, results[0].password, function(err, res) {
if(res === true){
return done(null,results[0])
} else {
return done(null, false, {message: 'Invalid password'})
}
});
})
}));
passport.serializeUser(function(user, done) {
done(null, user.id);
});
passport.deserializeUser(function(id, done) {
console.log(id)
db_functions.getUserById(id,function(error, results) {
if (error) throw error;
done(error,results[0])
})
});
我在这里读到http://passportjs.org/docs/overview http://passportjs.org/docs/overview,如果我要将我的节点项目用作 API,我应该禁用会话,因此我将使用:
app.get('/api/users/me',
passport.authenticate('basic', { session: false }),
function(req, res) {
res.json({ id: req.user.id, username: req.user.username });
});
现在,我已经禁用了会话,为什么我应该继续使用护照?我使用 bcrypt 来注册并在用户登录时检查密码是否匹配。如果我将其删除,是否意味着来自 Web 浏览器或移动设备的每个请求也必须传输用户和哈希密码?