gpt4 book ai didi

node.js - PassportJS req.user 发送所有用户数据

转载 作者:搜寻专家 更新时间:2023-10-31 22:52:49 25 4
gpt4 key购买 nike

我正在使用 PassportJS 本地策略进行用户身份验证,它的工作完全正常。但是,当我尝试在任何经过​​身份验证的页面上使用 console.log(req.user) 时,我会获得当前登录用户的所有数据库条目详细信息。这是正常的吗?包括哈希密码

{ 
name: 'Test',
email: 'vxxxxx@gmail.com',
password: '$2a$10$aw2aMtXtrmKHi.kd97c0NeMOu6Y0hlcM4xk2VuqfneLYdEkc676eq',
phone: 9xxxxx6,
_enabled: true,
_id: 5253f326003e55f028000001,
__v: 0
}

我的本​​地策略是这样定义的。

passport.use(new strategy(function(username, password, done) {
User.findOne({ "email": username }, function(err, user) {
if (err) { return done(err); }
if (!user) { return done(null, false, { message: 'Unknown user ' + username }); }
if(user._enabled==false) return done(null,false,{message: "Dear "+user.name+", Please verify your email first!"});
if(bcrypt.compareSync(password,user.password)){
return done(null, user);
app.set("userEmail",username);
}
else {
return done(null, false, { message: 'Invalid password' });
}
db.close();
})
}));

这些数据是否有可能被篡改?

最佳答案

是的,它可以被篡改。使用 deserializeUser 加载绑定(bind)到 req 对象的用户。

请参阅:http://passportjs.org/guide/configure/和“ session ”部分。

关于node.js - PassportJS req.user 发送所有用户数据,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/19248431/

25 4 0
Copyright 2021 - 2024 cfsdn All Rights Reserved 蜀ICP备2022000587号
广告合作:1813099741@qq.com 6ren.com