1

我试图通过仅根据请求的路径调用某些中间件函数来缩短我的 Express/Connect 中间件管道。

但是,以下将失败:

_cookieParser(req, res, function(err) {
     if(err) return next(err);
     _session(req, res, function(err) {
         if(err) return next(err);
         _csrf(req, res, function(err) {
              if(err) return next(err);
              loadUserFromSession(req, res, function(err) {
                   if(err) return next(err);
                   if(req.method == "POST") {
                       _bodyParser(req, res, next);
                   } else {
                       next();
                   }
              });
          });
     });
});

但这会很好地工作:

_cookieParser(req, res, function(err) {
     if(err) return next(err);
     _session(req, res, function(err) {
         if(err) return next(err);
         _csrf(req, res, function(err) {
              if(err) return next(err);
              _bodyParser(req, res, function(err) {
                   if(err) return next(err);
                   loadUserFromSession(req, res, next);
              });
          });
     });
});

其中 loadUserFromSession 是:

function loadUserFromSession(req, res, next) {
    if(req.session && req.session.userId) {
        userFunctions.getUserById(req.session.userId, function(err, user) {
            if(err) return next(err);
            if(user) {
                req.user = user;
                return next();
            } else {
                req.session.destroy();
                return next(new Error('Unauthenticated'));
            }
        });
    } else {
        return next(new Error('Unauthenticated'));
    }        
};

为什么我不能在 loadUserFromSession() 之后调用 bodyParser()?

编辑

抱歉,没有关于失败/意外结果的详细信息。

如果我在 loadUserFromSession() 之后放置 bodyParser() 或只是 json()(因为 POST 内容是 json),则调用永远不会在 json() 内部返回。如果我在 res.on('data') 或 res.on('end') 上的节点检查器中放置断点,都不会被绊倒。

json中间件的源码如下:

exports = module.exports = function(options){
  var options = options || {}
    , strict = options.strict !== false;

  var limit = options.limit
    ? _limit(options.limit)
    : noop;

  return function json(req, res, next) {
    if (req._body) return next();
    req.body = req.body || {};

    if (!utils.hasBody(req)) return next();

    // check Content-Type
    if ('application/json' != utils.mime(req)) return next();

    // flag as parsed
    req._body = true;

    // parse
    limit(req, res, function(err){
      if (err) return next(err);
      var buf = '';
      req.setEncoding('utf8');
      req.on('data', function(chunk){ 
        buf += chunk                  <==BREAKPOINT NEVER GETS CALLED
      });
      req.on('end', function(){
        var first = buf.trim()[0];    <==BREAKPOINT NEVER GETS CALLED

        if (0 == buf.length) {
          return next(400, 'invalid json, empty body');
        }

        if (strict && '{' != first && '[' != first) return next(400, 'invalid json');
        try {
          req.body = JSON.parse(buf, options.reviver);
          next();
        } catch (err){
          err.body = buf;
          err.status = 400;
          next(err);
        }
      });
    });
  }
};
4

1 回答 1

0

好的,考虑这个建议/代码审查而不是具体答案,但希望这会有所帮助。

首先,我的猜测是理解以下内容将解决您的问题并使您不感到困惑,尽管我无法确切说明为什么上面的第二个示例与第一个示例的行为不同,但给出了您的孤立片段,但根据此信息做一些实验:给定请求,一系列事件(data,end等)将触发一次且仅触发一次。如果在触发时未附加侦听器,则永远不会调用该侦听器。如果侦听器在触发后被附加,它将永远不会被调用。有bodyParser代码可以避免多次尝试重新解析相同的请求主体(因为必要的事件永远不会触发,并且代码会挂起而不响应请求)。

所以,我怀疑在你的应用程序中你有app.use(express.bodyParser())并且中间件在你上面的自定义内容之前被调用和运行。因此,我的建议(也解决了您的文件上传安全问题)是:

不要bodyParser像您在示例中看到的那样安装全局:app.use(express.bodyParser()). 这段代码对于第 1 天的示例应用程序来说很简洁,但对于生产站点来说完全不合适。您应该改为执行以下操作:

app.post('/upload/some/file', express.bodyParser(), myUploadHandler);

只需在需要的地方使用正文解析器,别无他处。不要再深入你那堆奇怪的嵌套中间件。使用内置在连接中的中间件堆栈设计,有多种简洁的方法可以在 HARMONY 中获得所需的功能、安全性和效率。一般来说,了解您可以在不同的路径上使用不同的中间件堆栈,并且可以将 express/connect 配置为在逐个路径的基础上很好地匹配您想要发生的事情。

于 2013-05-13T16:00:52.750 回答