关于Express会话和Cookie，我错过了什么？

Question

关于Express会话和Cookie，我错过了什么？

14

我已经在使用express、express-session和express-sql-session方面取得了相当大的进展。当用户登录时，我已经让它在数据库中创建了一个会话行。这是我的设置方式：

//login route handler
this.bcrypt.compare(password, row.hashed, function(err, passwordsMatch) {
    if (passwordsMatch === true) {
        console.log("user now logged in");
        req.session.user = row;
        req.session.success = 'User successfully logged in';
        res.send(row);
        res.end();
    }
});

太好了！我可以进入我的会话表并从数据库获取行数据。这是它：

{"cookie":{"originalMaxAge":600000,"expires":"2015-08-24T23:16:20.079Z","httpOnly":false,"path":"/"},

"user":{"userID":24,"userName":"g","email":"g","joinDate":"2015-08-24T07:15:33.000Z"},"success":"User successfully logged in"}

请注意，您可以看到自定义用户对象已经设置。然而，在下一次获取数据的请求中，我会检查会话中的user对象：

// some other route called after login. 
if (!req.session.user) {
    console.log('user not authorized' + JSON.stringify(req.session));
    res.send('not authorized');
    return;
}

但是这样记录的是一次（表面上）空的会话。

user not authorized{"cookie":{"originalMaxAge":600000,"expires":"2015-08-24T23:27:13.455Z","httpOnly":false,"path":"/"}}

我在浏览器中查看资源面板，发现没有任何cookie被设置。根据文档，使用express 4和session不需要再使用expressCookie()。但是，为什么会出现这种情况呢？如何在后续请求中获取正确的会话？

另外，如果我再次登录，它只会在sessions表中创建一个重复的行。 如何正确地在响应中设置cookie以使下一次请求正常工作？

以下是我的会话配置，如果有帮助：

// at the beginning of my node server 

import express = require('express');
import bodyParser = require('body-parser');
import Q = require('q');
import mysql = require('mysql');
var app = express();

import bcrypt = require('bcrypt');

import userModule = require('./userModule')
var UserRepository = new userModule.UserNamespace.UserRepository(connectToMySQL, bcrypt, Q );

import session = require('express-session');
var SessionStore = require('express-sql-session')(session);

app.use(function (req, res, next) {
    res.header("Access-Control-Allow-Origin", "*");
    res.header('Access-Control-Allow-Credentials', 'true');
    res.header("Access-Control-Allow-Headers", "Origin, X-Requested-With, Content-Type, Accept");
    next();
});

app.use(bodyParser.urlencoded({ extended: false }))
app.use(bodyParser.json())


var storeOptions = {
    client: 'mysql',
    connection: {
        host:SQLHOST,
        port:SQLPORT,
        user:SQLUSER,
        password: SQLPASS,
        database: SQLDB
    },
    table: SESSION_TABLE,
    expires: 365 * 24 * 60 * 60 * 1000
};

var sessionStore = new SessionStore( storeOptions );

app.use(session({
    secret: 'meeogog',
    resave: false,
    saveUninitialized: false,
    cookie: { maxAge: 600000,httpOnly: false },
    store: sessionStore
}));

... 

app.post('/users/login/', function (req, res) {
    UserRepository.loginHashed(req, res);
});

..and then more routes, and so forth

- FlavorScape

两个建议：在 res.send(row) 后面加上 res.end() 是不必要的，你可以展示更完整的代码（比如在 app.use(session(...)) 之后发生了什么），这样我们就可以看到你发布的各种代码片段所处的位置以及它们被执行的顺序。 - mscdex

这两个业务片段来自路由处理程序（我已经回去标记了）。我认为在这里添加DB检索代码没有太大用处。我尝试使用.end()，只是在阅读了有时在.send()之后可能会出现其他竞争条件或其他情况后才这样做的。我觉得我只是在这里错过了一个重要的部分，导致cookie没有被设置。 - FlavorScape

我添加了剩下的初始化代码，看看是否可能只是缺少一些配置或其他库之类的东西。 - FlavorScape

@FlavorScape - 你看过以下问题cookie.expires在每个请求上返回原始值了吗？这可能不是你遇到的完全相同的问题，但似乎有一些关于如何设置或不设置maxAge而是设置expire的信息。还要检查配置属性rolling、resave和saveUninitialized。在你的情况下，将saveUninitialized设置为false似乎是完全有道理的，因为你没有修改你的会话数据，只有在成功登录后写入它一次。或者我错了吗？ - DavidDomain

3个回答

2

我曾经也遇到过这个问题。

备注：以下所有代码均由：

MEAN.JS 提供。

刚开始使用 passport：

http://passportjs.org/

"passport": "~0.2.0",
"passport-facebook": "~1.0.2",
"passport-github": "~0.1.5",
"passport-google-oauth": "~0.1.5",
"passport-linkedin": "~0.1.3",
"passport-local": "~1.0.0",
"passport-twitter": "~1.0.2",

基本上我只是做这个： express.js

// CookieParser should be above session
app.use(cookieParser());

// Express MongoDB session storage
app.use(session({
    saveUninitialized: true,
    resave: true,
    secret: config.sessionSecret,
    store: new mongoStore({
        db: db.connection.db,
        collection: config.sessionCollection
    })
}));

app.use( function (req, res, next) {
    if ( req.method === 'POST' && (req.url === '/auth/signin'||req.url === '/auth/login') ) {
      if ( req.body.rememberme ) {
        req.session.cookie.maxAge = 2592000000; // 30*24*60*60*1000 Rememeber 'me' for 30 days
      } else {
        req.session.cookie.expires = false;
      }
    }
    next();
  });

// use passport session
app.use(passport.initialize());
app.use(passport.session());

创建一个 passport.js。

'use strict';

/**
 * Module dependencies.
  */
var passport = require('passport'),
      User = require('mongoose').model('User'),
      path = require('path'),
      config = require('./config');

   /**
   * Module init function.
   */
module.exports = function() {
     // Serialize sessions
     passport.serializeUser(function(user, done) {
            done(null, user.id);
      });

// Deserialize sessions
passport.deserializeUser(function(id, done) {
    User.findOne({
        _id: id
    }, '-salt -password', function(err, user) {
        done(err, user);
    });
});

// Initialize strategies
config.getGlobbedFiles('./config/strategies/**/*.js').forEach(function(strategy) {
    require(path.resolve(strategy))();
});
 };

在 strategies 文件夹中，我创建了以下文件： locals.js

 `
'use strict';

/**
 * Module dependencies.
 */
var passport = require('passport'),
    LocalStrategy = require('passport-local').Strategy,
    User = require('mongoose').model('User');

module.exports = function() {
    // Use local strategy
    passport.use(new LocalStrategy({
            usernameField: 'email',
            passwordField: 'password'
        },
        function(email, password, done) {
            User.findOne({
                email: email
            }).select('-__v -notes -tags').exec(function(err, user) {
                if (err) {
                    return done(err);
                }
                if (!user) {
                    return done(null, false, {
                        message: 'Unknown user or invalid password'
                    });
                }
                if (!user.authenticate(password)) {
                    return done(null, false, {
                        message: 'Unknown user or invalid password'
                    });
                }
                user.password = undefined;
                user.salt = undefined;
                user.notes = undefined;
                user.tags = [];
                return done(null, user);
            });
        }
    ));
};

最后，我只需要执行以下操作即可登录：

user.auth.js

/**
 * Signin after passport authentication
 */
exports.signin = function(req, res, next) {
    console.log(req.body);
    passport.authenticate('local', function(err, user, info) {
        if (err || !user) {
            res.status(400).send(info);
        } else {
            // Remove sensitive data before login
            user.password = undefined;
            user.salt = undefined;
            user.notes = undefined;
            user.tags = [];
            user.resetPasswordToken = undefined;
            req.login(user, function(err) {
                if (err) {
                    res.status(400).send(err);
                } else {
                    res.json(user);
                }
            });
        }
    })(req, res, next);
};

- Alvaro Silvino

0

我一直感到同样的痛苦，对我有效的解决方案与FlavorScope类似。

我意识到express-session库在服务器上创建了一个cookie，但它没有保存在本地cookie中。响应头会显示set-cookie，但没有保存任何内容。当我访问另一个路由、重新登录等时，它不起作用，也无法识别旧会话（因为客户端/浏览器没有发送会话）。这就是为什么它在每个路由上都会创建新的会话。这个问题似乎只能通过以下两种方式解决：1）在服务器上以某种特定的方式设置cookie，2）在客户端/浏览器上以某种特定的方式设置任何get/post请求。

我成功地让它在不更改为127.0.0.1的情况下工作。对我来说，本地主机运行得很好。我还使用了FETCH api，这是特定于如何设置标头的。此外，这是针对我的开发环境的。我必须将安全标志更改为false。本地主机是http而不是https，因此如果在dev环境中安全标志为true，则会出现错误。最后一件事，当您在前端拥有凭据：“包括”时，您还需要使用特定域（这里我使用我的本地主机）设置cors，通配符“*”域不起作用。用我的话来说，凭据：“包括”只是告诉浏览器“嘿，如果我们从服务器收到一个cookie，你可以保存它”。

服务器

app.use(cors({
     origin: "http://localhost:3000",
     credentials: true
  }));


     app.use(session({ name: "mySession",
              secret: process.env.SESSION_SECRET,
                 resave: false,
                 saveUninitialized: false,
                 cookie: {
                     httpOnly: true,
                     secure: false,
                     maxAge: 60000 * 60 * 24
                 },
                 store: new RedisStore({ client: redisClient })
             }))

客户端/浏览器用于登录，另一个示例是获取请求


        fetch(
             "http://localhost:3001/login",
             {
                 method: "POST",
                 headers: { "Content-Type": "application/json" },
                 body: JSON.stringify({
                     email: email,
                     password: password
                 }),
                 credentials : "include"
             }
         )

获取请求示例，仍需要凭据："include"

<pre><code>
      fetch(
        "http://localhost:3001/accounts",
        {
            method: "GET",
            headers: {"Content-Type": "application/json"},
            credentials: "include"
        }
    )
</pre></code>

- colton-hibbert

网页内容由stack overflow 提供, 点击上面的

可以查看英文原文，
原文链接

- FlavorScape · Accepted Answer

在我设置赏金之后，我发现这是使用localhost并且没有在xhr请求上设置useCredentials的组合问题。localhost是让我困惑的地方，你必须使用完全限定的127.0.0.1，并且为了增加困难，http文件在不同的端口上提供服务，因此必须更改通配符以反映这一点。

所以...

//where the server runs on 127.0.0.1:3000 but the http runs from :9000
app.use(session({
    name:'some_session',
    secret: 'lalala',
    resave: true,
    saveUninitialized: false,
    cookie: { maxAge: 365 * 24 * 60 * 60 * 1000,httpOnly: false , domain:'127.0.0.1:9000'},
    store: sessionStore
}));


res.header("Access-Control-Allow-Origin", "http://127.0.0.1:9000");

//important
$http request (angular): useCredentials: true