我正在考虑使用 express-session 为通过 OAuth 2 提供者身份验证的用户存储访问令牌,并为客户端应用程序提供安全签名的 cookie。
据我了解,然后我可以在来自会话存储服务器端(例如 mongodb)的后续请求中检索与 cookie 关联的令牌,然后我可以在请求中使用承载授权标头来使用 Express 路由分隔端点。
我遇到了 PassportJS 并试图弄清楚我是否需要在我的设置中使用它。
目前,我正在我的快速应用程序中处理登录 POST 请求,然后使用资源所有者密码凭据授予类型请求流发出访问令牌请求。这工作正常,我从提供商那里收到了访问令牌以及刷新令牌和到期时间。
据我所知,PassportJS 为各种提供者提供了身份验证策略,但我不确定它是否支持在我的案例中使用的授权类型。另外,我已经在做请求和接收令牌的工作,所以不确定 PassportJS 在这里对我有多大好处。
通过阅读 express-session 文档,我认为这将为我提供所需的一切,而且我可以根据从 api 网关返回的令牌到期时间设置 cookie 到期时间。
我认为 PassportJS 位于快速会话之上,并且只是访问快速生成的会话,对吗?