5

我正在使用 PassportJS 本地策略进行用户身份验证,它工作得很好。但是,当我尝试在任何经过​​身份验证的页面上使用 console.log(req.user) 时,我会获得当前登录用户的所有数据库条目详细信息。这是正常的吗?包括哈希密码

{ 
    name: 'Test',
    email: 'vxxxxx@gmail.com',
    password: '$2a$10$aw2aMtXtrmKHi.kd97c0NeMOu6Y0hlcM4xk2VuqfneLYdEkc676eq',
    phone: 9xxxxx6,
    _enabled: true,
    _id: 5253f326003e55f028000001,
    __v: 0 
}

我的本地策略是这样定义的。

passport.use(new strategy(function(username, password, done) {
 User.findOne({ "email": username }, function(err, user) {
  if (err) { return done(err); }
  if (!user) { return done(null, false, { message: 'Unknown user ' + username }); }
  if(user._enabled==false) return done(null,false,{message: "Dear "+user.name+", Please verify your email first!"});
  if(bcrypt.compareSync(password,user.password)){
    return done(null, user);
    app.set("userEmail",username);
    } 
   else {
    return done(null, false, { message: 'Invalid password' });
    }
 db.close();
})
}));

这些数据是否有可能被篡改?

4

2 回答 2

1

是的,它可以被篡改。使用 deserializeUser 加载绑定到 req 对象的用户。

请参阅: http: //passportjs.org/guide/configure/和“会话”部分。

于 2013-10-09T09:26:39.853 回答
0

Okei 我得到了答案,我没有正确反序列化!

passport.deserializeUser(function(id, done) {
    User.findOne({_id:id}, function (err, user) {
    done(err, user._id);
  });
});
于 2013-10-26T05:20:28.320 回答