鍍金池/ 問答/Linux  網(wǎng)絡安全  HTML/ nodejs 第三方 github 登錄后信息無法寫入 session

nodejs 第三方 github 登錄后信息無法寫入 session

github.js(用來github第三方登錄)

router.get('/login', checkNotLogin, async (req, res, next) => {
    const dataStr = (new Date()).valueOf()
    //  重定向到認證接口,并配置參數(shù)
    let path = "https://github.com/login/oauth/authorize"
    path += '?client_id=' + config.client_id
    path += '&scope=' + config.scope
    path += '&state=' + dataStr
    // 轉(zhuǎn)發(fā)到授權服務器
    res.redirect(path)
})
router.get('/oauth/callback', checkNotLogin, (req, res, next) => {
    const code = req.query.code;
    let path = 'https://github.com/login/oauth/access_token';
    const params = {
        client_id: config.client_id,
        client_secret: config.client_secret,
        code: code
    }
    fetch(path, {
        method: 'POST',
        headers: {
            'Content-Type': 'application/json'
        },
        body: JSON.stringify(params)
    })
    .then(result => {
        return result.text()
    }).then(body => {
        let access_token = body.split('&')[0].split('=')[1]
        return access_token
    }).then(token => {
        const url = ' https://api.github.com/user?access_token=' + token;
        fetch(url)
            .then(info => {
                return info.json();
            })
            .then(github_info => {
                UserModel.getUserByOauthInfo({ type: 'github', name: github_info.login }).then(user => {
                    if (user) {
                        // 已注冊,獲取登錄信息后直接跳轉(zhuǎn)到列表頁
                        user = user.toObject()
                        delete user.password
                        req.session.user = JSON.parse(JSON.stringify(user))
                        res.redirect(`${config.main_url}?username=${user.username}`)
                    } else {
                        // 如果沒有注冊,就跳轉(zhuǎn)到注冊界面
                        res.redirect(`${config.register_url}?name=${github_info.login}&type=github&avatar_url=${github_info.avatar_url}&bio=${github_info.bio}`)
                    }
                })
                
            })

    })
})

如代碼中所示,如果 github 賬號已與現(xiàn)有賬號關聯(lián),后端會直接

req.session.user = JSON.parse(JSON.stringify(user))
user 保存到 req.session

但是在登錄之后,我在界面上做一些其他的操作,調(diào)用了其他的接口,接口中用到了監(jiān)測是否登陸的中間件 check.js

    checkLogin (req, res, next) {
        if (!req.session.user) { // 登錄超時 前端通過狀態(tài)碼 401 識別
            console.log(req.session.user)
            res.status(401).json({ code: 'error', data: '該用戶未登錄' })
            return false
        }
        next()
    },
    checkNotLogin (req, res, next) {
        if (req.session.user) {
            console.log(req.session.user)
            res.status(402).json({ code: 'error', data: '該用戶已登錄' })
            return false
        }
        next()
    }

當用 github 直接登錄時中間件打印出來的 req.session.user 一直是 undefined
我不太明白,我覺得我登錄的時候已經(jīng)將 user 信息保存到 req.session

github.js代碼鏈接戳這里
中間件check.js代碼戳這里

回答
編輯回答
影魅

解決了,因為github登錄成功后是 http 方式跳轉(zhuǎn)過去的,所以 express-session 需要設置下 secure: false

app.use(session({
    secret: 'Stefanie Sun',
    store: sessionStore,
    resave: true, // 強制更新 session
    saveUninitialized: true,  // 
    cookie: { 
        maxAge: 3 * 3600 * 1000,  // 過期時
        secure: false // http 訪問時 secure 為 false
  }, 
    rolling: true
}))

怪我沒有仔細看文檔=。=

2018年6月3日 08:53