javascript - 如何正确使用 Passport.js？

Question

我正在使用:

• Node.js
• 快捷 4.0
• Passport .js
• 用于身份验证的 Google OAuth 2

对于每个用户，我在一个 MySQL 数据库中存储(我没有关于这项技术的选择)一些来自他的 Google 个人资料(电子邮件等...)的信息、访问和刷新 token ，以及其他信息用户在我的应用程序上注册时提供。

我见过 passport.js 的不同用途，特别是关于信息在 session 中的存储方式。

1. 关于 passport.js's configurepage , 我真的不理解以下代码块的要点:

   passport.deserializeUser(function(id, done) {
     User.findById(id, function(err, user) {
       done(err, user);
     });
   });
   

   基本上，每次用户发出请求或访问页面时，都会向数据库发出请求并检索信息。有什么意义？它会大大降低应用程序的速度。调用 serializeUser 时(即，当信息存储在 session 中时)不应该从数据库中检索信息吗？

2. 我读到在 session 中存储太多信息会减慢应用程序。什么是“太多”？它会使应用程序变慢多少？做有人知道某处是否有测试吗？我的应用页面需要关于我的用户的不同数据集(例如，主页将只需要他的名字，而个人资料页面将需要一切，另一个页面将需要知道他拥有什么汽车等......)。我是不是该当 passport.authenticate 检查时，将所有信息存储在 session 中如果用户存在于数据库中(从而限制对数据库的读取请求到大约一个)，或者只在 session 中存储他的 id 并让我的页面在必要时向数据库发出额外请求？

3. 我遇到的另一个问题:在注册过程中，我首先让用户登录他的Google 帐户，我将他的个人资料详细信息存储在某处，让他填写表格以获取其他信息，然后我将所有内容插入数据库。问题是我不知道如何正确存储他的 Google帐户详细信息，直到它们被插入到数据库中。目前，我将它们存储在 session 中，然后在插入时将其删除是成功的。更具体地说，当在我的数据库，在我的 passport.authenticate 回调中:

   return done(null,false,userInfo);
   

   因此，用户未通过身份验证，我有 2 个问题:我必须将 userInfo 存储在某个地方，直到用户注册并且我有在注册完成后使用 req.login()“手动”登录他。

   我是否应该允许他在他登录他的帐户后立即进行身份验证？谷歌帐户？如果他这样做不会给我带来安全问题吗没有完成他的注册？

4. 最后，我阅读了有关使用 Reddis 的内容。那对我有帮助吗这些问题？

非常感谢!

Answer 1

1) serializeUser 正在过滤数据并将其存储在 session cookie 中。如果可以的话，通常在 cookie 中存储较少的内容。无论如何，您都将调用数据库以获取有关用户的数据，因此您可以只存储用于检索和重建用户的 ID，如 deserializeUser 中所示。

来自cookie的请求由客户端提供给服务器，服务器将cookie反序列化为数据，解密cookie内容或从数据库中检索用户数据。然后响应发出服务器序列化客户端数据，刮掉你不会存储在cookie中的东西并将它们放入数据库中，只是在cookie中留下一个id。

如果你正在进行加密，那么当你想通过运行多台机器来扩展时，每台机器都需要能够解密数据(不是很难，但不必要的复杂性)，这很容易搞砸

将未加密的数据仅仅放在 cookie 中并不是最好的，而且 cookie 中的任何内容都可以为用户增加额外带宽使用的暗示。

2) 数据库调用应该非常快，否则您无论如何都会在其他地方遇到痛苦的用户体验。换句话说，我的强烈意见是，有压倒性的理由支持远离 cookie。

考虑到 cookie 是随每个请求一起发送的；更明智的做法是，与其将数据推送到 session 中并增加开销，不如在用户发出请求后暂时加载(缓存)用户数据一段时间，然后既没有数据库调用也没有来自 cookie 的开销当用户活跃在您的网站上时。

老实说，如果没有缓存，一开始你应该没问题。专注于让您的应用程序具有最低的复杂性。这样您就可以更快地根据用户反馈进行修改，并减少错误。

3) 当我玩 Passport 时，我遇到了类似的问题。我会让 passport 完成它的工作并向用户授予 passport 级验证(所以是的，他们已登录)，然后单独收集更多数据。如果您担心安全性，请将此 Passport 级验证设置为未完全登录，并在升级为完全登录之前需要更多数据。

我可能对这个非常不满意，但这是我的建议。

4) 当您有多个 Node 实例并希望在内存中存储某些内容(例如计数器或缓存的用户数据)时，Redis 非常适合。这样你就没有 Node 代码中的变量来保存关于用户的缓存数据，当用户返回并且负载均衡器将它们发送到不同的实例时，另一个 Node 实例无法利用这些数据。 http://www.ourdailycodes.com/2013/09/redis-when-should-i-use-it.html

编辑:我应该补充一点， session 使用 cookie，但只给用户一个服务器可以理解的唯一 token ，以便服务器可以在收到带有随附 session token 的连接时重新收集用户的 session 数据。我的理解是，这是 Session 工作的通常正确方式......但它因实现而异(如果我在这里错了，请纠正我)。