Я использую express-session и Passport.js (локальная стратегия) для аутентификации простого веб-приложения.
Поэтому, когда я проверяю заголовок запроса при входе в систему с разными пользователями, я вижу тот же идентификатор сеанса, что и значение Cookie:
Cookie: connect.sid="some_encrypted_string"
Разве cookie не должен быть уникальным для каждого пользователя?
Ниже приведена конфигурация для сеансов и паспортной аутентификации:
Промежуточное программное обеспечение экспресс-сеанса:
app.use(session({
secret: 'somekey',
resave: true,
saveUninitialized: true
}));
Конфигурация паспорта:
const LocalStrategy = require('passport-local');
const bcrypt = require('bcryptjs');
const User = require('../models/user');
module.exports = function(passport) {
passport.use(new LocalStrategy({usernameField: 'email'},
(email, password, done) => {
// Match User
User.findOne({
email: email
}).then(user => {
if(!user) {
return done(null, false, {message: 'No user found'});
}
// Match Password
bcrypt.compare(password, user.password, (err, isMatch) => {
if(err) throw err;
if(isMatch) {
return done(null, user);
} else {
return done(null, false, {message: 'Password Incorrect'});
}
});
}).catch(err => console.log(err));
}));
// Sessions
passport.serializeUser(function(user, done) {
done(null, user.id);
});
passport.deserializeUser(function(id, done) {
User.findById(id, function(err, user) {
done(err, user);
});
});
}
Запрос на вход:
router.post('/login', (req, res, next) => {
passport.authenticate('local', {
successRedirect: '/ideas',
failureRedirect: '/users/login',
failureFlash: true
})(req, res, next);
});
Я что-то упустил или моя концепция аутентификации неверна?