使用快速會話在MEAN應用程序中檢查有效會話的最佳方法是什麼？

Question

我在MEAN項目中一直使用express-sessions（https://www.npmjs.com/package/express-sessions）以及angular-route來管理用戶登錄/認證。一旦用戶登錄或註冊，他們的用戶數據（例如整個User）被分配給一個會話，然後用戶被重定向到一個新頁面：#!/dashboard。

爲了防止用戶訪問#!/dashboard，而無需先註冊或登錄，我做一個快速的「會話確認」，我把它從我的角度控制器，它傳遞給角工廠，迅速地ping服務器 - 將端來檢查會話對象。

如果會話存在，我返回一個布爾值true，如果會話不存在，我發送一個布爾型false。然後我做了一個條件聲明：如果是，繼續並在#!/dashboard頁面（用戶的會話有效）繼續抓取帖子或用戶數據等。如果爲false，則重定向到登錄頁面存在的/（防止用戶訪問#!/dashboard）。

這實現了我的目標，即防止用戶在瀏覽器中輸入/#!/dashboard而未登錄/註冊，但這看起來像是一個昂貴的解決方案，並不是很乾淨。

有沒有一種更清潔或更好的方式來執行此「會話檢查」，以防止在沒有有效登錄會話的情況下訪問我的後端頁面？

我已經使用了快遞中間件，也許有一種方法可以快速檢查每個請求嗎？

有沒有人有任何關於如何改善我的會話檢查的建議？

Answer 1

function secure_pass(req, res, next) { 
    if (req.session.loggedIn || req.path==='/login') { 
     next(); 
    } else { 
     res.redirect("/login"); 
    } 
} 

此功能需要照顧，如果session.loggedIn未設置爲true，那麼則該用戶被重定向到/login。

現在注入它作爲一箇中間件：

app.use(secure_pass); 

現在上面的行之後的任何app.get("/", myfunc);現在將「安全」通過你的secure_pass功能。

Ofcourse，你可以有選擇地注入了某些航線中間件只是以及代替所有的：

app.get("/", secure_pass, myfunc); 

注：以上是未經測試的代碼。我只是把它放在一起，給你一個方法的想法。

Answer 2

如果您在前端使用AngularJS 2，那麼可以使用guards的概念來保​​護您的路由免受未經授權的訪問，但這隻能處理您的應用程序的角色部分;您還需要通過護照等模塊來保護您的快速應用。您也可以考慮令牌認證，而不是使用passport和jwt的會話。我寫了兩篇關於如何從back和front結束使用護照和jwt驗證您的平均應用的文章。