将此代码放置在路由中是否足以保护页面免受未经身份验证的用户的攻击?
if (!req.user) return res.send(401, "Not allowed in");
问问题
6119 次
3 回答
27
您可以使用它req.isAuthenticated()来检查请求是否经过身份验证。
function ensureAuthenticated(req, res, next) {
if (req.isAuthenticated()) { return next(); }
res.redirect('/login')
}
app.get('/server', ensureAuthenticated, routes.server.get);
app.get('/login', routes.login.get);
或者像这样
app.all('*', function(req,res,next){
if (req.path === '/' || req.path === '/login')
next();
else
ensureAuthenticated(req,res,next);
});
于 2013-07-20T05:52:43.783 回答
3
只要您没有在某处泄漏路线就足够了。只需确保您的路线顺序正确。
//checks to be sure users are authenticated
app.all("*", function(req, res, next){
if (!req.user)
res.send(403);
else
next();
});
//additional routes will require authentication due to the order of middleware
app.get("/admin", ....
但是,如果您将管理路由移到全局路由之上,则管理路由将不再受到保护。例如,您可能想故意将您的登录页面放在更早的位置,这样它就不需要身份验证。
于 2013-07-20T05:22:30.617 回答
2
更正 user568109 的答案,使用 express 4 代码必须是这样的:
app.all('*', function(req,res,next) {
if (req.path === '/' || req.path === '/login')
next();
else
ensureAuthenticated(req,res,next);
});
于 2016-04-14T09:52:56.720 回答