Express在github仓库中有很好的示例。其中之一处理身份验证,并展示了如何将用户附加到req.session对象中。这是在app.post('/login')路由内完成的。
为了限制对某些页面的访问,在这些路由中添加一个简单的中间件即可。
function restrict(req, res, next) {
if (req.session.user) {
next();
} else {
req.session.error = 'Access denied!';
res.redirect('/login');
}
}
app.get('/restricted', restrict, function(req, res){
res.send('Wahoo! restricted area, click to <a href="/logout">logout</a>');
});
正如Brandon所提到的,你不应该在生产环境中使用MemoryStore。 Redis是一个很好的替代品。 使用connect-redis访问数据库。示例配置如下:
var RedisStore = require('connect-redis')(express);
// add this to your app.configure
app.use(express.session({
secret: "kqsdjfmlksdhfhzirzeoibrzecrbzuzefcuercazeafxzeokwdfzeijfxcerig",
store: new RedisStore({ host: 'localhost', port: 3000, client: redis })
}));
仅在没有创建多个实例(例如使用集群模块)的情况下,在express中使用MemoryStore。 如果您在不同机器之间进行负载平衡,则负载均衡器需要使用粘性/持久会话。
如果您满足这些要求,那么您只需要在登录时,在验证凭据后,设置一个会话变量以指示已登录,例如:
req.session.loggedIn = true;
如果您想检查用户是否已登录,请简单地检查该变量。
if (req.session.loggedIn) {
// user is logged in.
}
else {
// user is not logged in.
}
你提到需要防止单个用户同时拥有多个会话。为了实现这一点,你可能需要在数据库中存储一些内容来表示该用户已经登录。但我必须警告你,这可能存在风险,因为会话信息可能会很长时间保留。例如,如果一个用户登录后从未退出,或者关闭了浏览器导致会话信息永久丢失。
Express本身没有空闲会话过期的概念。我通过将所有的会话信息和最新访问时间戳存储在数据库中并定期清理会话数据来实现这一点。但是,这也意味着你需要更新已登录用户列表。