1

我正在使用 node.js、express、express-session 和 passport.js 来处理我的项目中的身份验证。在我的 routes.js 中,我处理如下获取请求:

app.get('...', isLoggedIn, function(req, res, next) {
    var user = req.user;
    ...
});

在函数内部,我可以从请求参数中获取用户。我的问题是用户对象来自哪里?用户对象是否传递给客户端并返回?客户端可以更改用户对象以尝试将代码注入我的数据库吗?

提前致谢!

4

1 回答 1

1

req.user创建会话时初始化。req.user等于存储在会话中的对象用户。观看视频以获取有关 node.js 中身份验证的更多信息。不,客户端无法通过它与您的数据库交互。

于 2015-05-26T18:45:37.843 回答