Node.js Express Passport Cookieの有効期限
アプリの認証にPassportを使用しており、Expressも使用しています。私の問題を要約すると:私のログイン機能は最初は正常に動作しますが、anyユーザーのセッションがタイムアウトした後、いいえユーザーはログインできます。
認証に標準のローカル戦略を使用しています。
私の設定に基づいて、可能な限り最小限の例を含めます。
//-------------
//Set up authentication with Passport
//-------------
var userModel = require('./models/user')(db);
passport.use(new LocalStrategy(
function(username, password, done) {
var errorMessage = 'Incorrect username/password combination.';
userModel.GetUserByUsername(username, function(err, user) {
if (err) { return done(err); }
if (!user) {
return done(null, false, { message: errorMessage });
}
user.validatePassword(password, function(isPasswordCorrect) {
if (!isPasswordCorrect)
{
return done(null, false, { message: errorMessage });
}
//Update with login date
userModel.UpdateUserWithLogin(username, user.currentLoginTime, function(err){
//if we have an error here, we should probably just log it
if(err)
{
console.log(err);
}
});
return done(null, user);
});
});
}
));
passport.serializeUser(function(user, done) {
done(null, user);
});
passport.deserializeUser(function(user, done) {
userModel.GetUserByUsername(user._id, function(err, user) {
done(err, user);
});
});
//-------------
//Set up express and configure
//-------------
var sessionStore = new SkinStore(db);
var app = express();
app.configure(function(){
app.set('port', process.env.PORT || 3000);
app.set('views', __dirname + '/views');
app.engine('html', consolidate.swig);
app.set('view engine', 'html');
swig.init({
root: '.',
allowErrors: true, // allows errors to be thrown and caught by express instead of suppressed
autoescape: false});
app.use(express.logger('dev'));
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(express.cookieParser("[mysecrethere]"));
app.use(express.session({ store: sessionStore,
cookie: { expires : new Date(Date.now() + 3600000) } //1 Hour
}));
app.use(passport.initialize());
app.use(passport.session());
app.use(flash());
app.use(expressValidator);
app.use(express.static(path.join(__dirname, 'public')));
//Dynamic helpers
app.use(require('./helpers/DynamicHelpers'));
app.use(app.router);
});
app.get('/login', routes.login);
app.post('/login', passport.authenticate('local', {failureRedirect: '/login',
badRequestMessage: "Please enter username and password",
failureFlash: true }),
function(req, res) {
var targetUrl = req.session.pageAfterLogin;
delete req.session.pageAfterLogin;
res.redirect(targetUrl || '/account');
});
app.get('/account', IsAuthenticated, routes.account.show);
そして、IsAuthenticatedヘルパー関数:
function IsAuthenticated(req,res,next){
if(req.isAuthenticated())
{
next();
}
else
{
//save the requested page and then redirected
req.session.pageAfterLogin = req.url;
req.flash("error", "You must be logged in first!");
res.redirect('/login');
}
}
デバッグによって見つけられるのは、認証が成功した後(およびCookieの有効期限が切れた後)、次のロジックに(上から)ヒットしたことです。
function(req, res) {
var targetUrl = req.session.pageAfterLogin;
delete req.session.pageAfterLogin;
res.redirect(targetUrl || '/account');
}
Passport情報が適切に保存され、「req」でセッションが適切に設定されていることがわかります。次に、リダイレクトが発生し、newリクエストにはセッション情報が保存されておらず、まったく新しいセッションIDが含まれています。クライアントにCookieが設定されていなかったのではないかと思いました。これは、一貫したセッションの欠如を説明するケースであると思われます。
しかし、私はwhyを理解できません。新しいCookieが設定されていません。これが発生している理由を示す、アプリの構成に問題がありますか?
Node.jsインスタンスを再起動すると問題が解決することを付け加えます。これは、本番環境で許容できるものではありません。
ありがとう。
[〜#〜] update [〜#〜]:Fiddlerを実行して、HTTP/Sトラフィックで何が起こっているかを確認しました。ブラウザで(私はいくつか試しました)、それはその後のリクエストでサーバーに戻されます。
しないの場合、ブラウザはサーバーにCookieを渡していないため、Nodeは毎回新しいCookieを提供するSet-Cookieヘッダーを送信しています。これまでのところ、この原因を特定することはできません。
私はそれを理解しましたが、答えは好きではありません。
tl; dr; -有効期限の代わりにmaxAgeを使用します。
この問題は、各Cookieに設定された有効期限(Expressによって自動的に設定される)が原因でした。設定されたすべてのCookieに同じ有効期限が設定されていることに気づきました。これは最終的には過去になってしまい、すぐに期限切れになります。
その原因はここにありました:
cookie: { expires : new Date(Date.now() + 3600000) }
新しい日付はサーバーの起動時に一度だけ作成されていました。そのため、有効期限は毎回同じでした。元の投稿のコードに基づいて、なぜそれが機能しないのか理解できませんが、オンラインで見つけたすべての例ではまったく同じコードを使用しています。この日付を作成する関数を定義し、サーバーの起動時にのみ呼び出されることを確認することで、これを確認しました。
この問題を修正するために、「expires」ではなくmaxAgeを定義しています。 maxAgeは日付ではなくミリ秒単位の時間がかかり、すべてのCookieに有効期限が正しく設定されているようです。
これが最初に起こっている理由を誰かが説明できるかどうか知りたいです。他の人がそれをうまく使用しているようです。何か考えはありますか?
以下の私の作業コードを参照してください
app.configure(function(){
app.set('port', process.env.PORT || 3000);
app.set('views', __dirname + '/views');
app.engine('html', consolidate.swig);
app.set('view engine', 'html');
swig.init({
root: '.',
allowErrors: true, // allows errors to be thrown and caught by express instead of suppressed
autoescape: false});
app.use(express.logger('dev'));
app.use(express.bodyParser());
app.use(express.methodOverride());
app.use(express.cookieParser("[mysecrethere]"));
app.use(express.session({ store: sessionStore,
cookie: { maxAge : 3600000 } //1 Hour
}));
app.use(passport.initialize());
app.use(passport.session());
app.use(flash());
app.use(expressValidator);
app.use(express.static(path.join(__dirname, 'public')));
//Dynamic helpers
app.use(require('./helpers/DynamicHelpers'));
app.use(app.router);
});