底部更新!
我的 node.js 服务器使用 express.js 来管理会话。登录后,我将一些用户信息存储在 req.session 中。我有一个注销端点,它只是在发送响应之前从 req.session 中删除用户数据。
对于用户发出的每个请求,我使用身份验证中间件来确保会话中仍有用户数据,因此删除会话对象中的用户数据应该会导致任何后续身份验证失败。
为了测试我的服务器,我有一个 nodeunit 测试,它登录、调用一些端点、注销,然后尝试调用另一个端点。我希望最后一个端点在身份验证中失败,因为我之前泄露了用户数据。相反,当我拨打最后一个电话时,我的用户数据仍然存在。就好像删除它的注销调用没有写回会话存储一样。
这是我的 app.js:
app.use(express.cookieParser('secretPassword'));
app.use(express.cookieSession({key: 'someKey'}));
...
app.get('/logout', accounts.logout);
app.get('/account', auth.authenticateSession, accounts.show);
auth.js:
exports.authenticateSession = function(req, res, next) {
if (!req.session.user) {
return res.json(401, {
error: 'Access denied. You must be logged in to make this request.'
});
}
...
}
account.js:注销:
exports.logout = function(req, res) {
req.session.user = null;
res.send('Logged out');
};
单元测试:
step1_logIn : function(test) {
var postData = qs.stringify({
accountname: 'testAcct',
accountpassword: 'hello'
});
ct.postAndCall('/login', null, postData, function(resData, res) {
myCookie = res.headers['set-cookie'];
test.ok(res.statusCode === 200);
test.done();
});
},
step2_logout : function(test) {
ct.getAndCall('/logout', myCookie, function(data, res) {
test.ok(data === 'Logged out.');
test.ok(res.statusCode === 200);
test.done();
});
},
step3_ensureLoggedOut: function(test) {
ct.getAndCall('/account', myCookie, function(data, res) {
test.ok(res.statusCode === 401);
test.done();
});
}
当测试运行时,执行成功通过注销,然后authenticateSession调用到/account,此时req.session.user仍然存在!为什么!?
- 我的 cookie 商店是否给了我过时的数据?
- 有没有办法强制 express 手动保存我的会话数据,或者我只是修改 req.session 对象并相信它会保存它?
更新:
看起来这个问题与围绕 cookie 的应用中间件直接相关。当我使用app.use(express.session())而不是app.use(express.cookieSession(...)),会话数据被正确地吹走并且我的测试通过了。