我正在使用 node.js、express、express-session 和 passport.js 来处理我的项目中的身份验证。在我的 routes.js 中,我处理如下获取请求:
app.get('...', isLoggedIn, function(req, res, next) {
var user = req.user;
...
});
在函数内部,我可以从请求参数中获取用户。我的问题是用户对象来自哪里?用户对象是否传递给客户端并返回?客户端可以更改用户对象以尝试将代码注入我的数据库吗?
提前致谢!