4

ここに私のセットアップがあります: - API エンドポイントを公開する nodejs に実装された http サーバーがあります。これは、nginx を介しapi.domain.comて ssl にリバース プロキシされます。構成は次のとおりです。

 1 server {                                                           
 2     listen 80;                                                      
 3     server_name api.domain.com;                                     
 4     access_log /var/log/nginx/api.access.log;                       
 5     location / {                                                    
 6         proxy_pass    http://127.0.0.1:3000/;                       
 7     }                                                               
 8 }                                                                   
 9                                                                     
 10 server {                                                           
 11     listen 443;                                                    
 12     server_name api.domain.com;                                    
 13     access_log /var/log/nginx/api.access.log;                      
 14     ssl on;                                                        
 15     ssl_certificate /path/to/ssl/server.crt;     
 16     ssl_certificate_key /path/to/ssl/server.key;         
 17     location / {
 18         proxy_pass    https://127.0.0.1:3001/;                                
 19     }                                                              
 20 }

dashboard.domain.com次に、nginxから API を消費することを目的とした静的コンテキスト ファイルを配信しますapi.domain.com。セットアップは次のとおりです。

  1 server {                                                                                                                                 
  2     listen 80;                                                                  
  3     server_name dashboard.domain.com;                                        
  4     root /path/to/static/site;                                                                                             
  5 }

CORS を使用してこれを行いたいのですが、静的サイトの js がOriginすべてのリクエストで正しいヘッダーを送信していることを確認しました。非常に単純なログイン メカニズムを実装しました。APIエンドポイントで使用しているcoffeescriptコードは次のとおりです。

# server.coffee
app.configure ->
    app.use middleware.setP3PHeader()
    app.use express.bodyParser()
    app.use express.cookieParser()
    app.use express.session
      secret: conf.session.secret
      key: conf.session.key
      cookie:
          maxAge: conf.session.maxAge
    app.use express.methodOverride()
    app.use express.query()
    app.use express.errorHandler()

# routes.coffee
app.options '*', shop.cors, shop.options
app.post '/login', shop.cors, shop.login
app.post '/logout', shop.cors, shop.logout
app.get '/current-user', shop.cors, shop.current

# shop.coffee
exports.options = (req, res) ->
    res.send 200

exports.cors = (req, res, next) ->
    allowed = ['http://dashboard.domain.com', 'http://localhost:3000']
    origin = req.get 'Origin'
    if origin? and origin in allowed
        res.set 'Access-Control-Allow-Origin', origin
        res.set 'Access-Control-Allow-Credentials', true
        res.set 'Access-Control-Allow-Methods', 'GET,POST'
        res.set 'Access-Control-Allow-Headers', 'X-Requested-With, Content-Type'
        next()
    else
        res.send 403, "Not allowed for #{origin}"

exports.login = (req, res) ->
    unless req.body.email? and req.body.password?
        res.send 400, "Request params not correct #{req.body}"
    models.Shop.findOne()
        .where('email').equals(req.body.email)
        .where('password').equals(req.body.password)
        .exec (err, shop) ->
            if err? then return res.send 500, err.message
            unless shop? then return res.send 401, "Not found for #{req.body}"

            req.session.shopId = shop.id
            res.send 200, shop.publish()

exports.logout = (req, res) ->
    delete req.session.shopId
    res.send 200

exports.current = (req, res) ->
    unless req.session.shopId?
        return res.send 401, "Not logged in!"
    models.Shop.findById(req.session.shopId)
        .exec (err, shop) ->
            if err? then return send.res 500, err.message
            unless shop? then return res.send 404, "No shop for #{req.session.shopId}"

            res.send 200, shop.publish()

問題は次のとおりです。 1. 最初に に電話をかけ/login、ログインしているユーザー ( req.session.shopId)との新しいセッションを取得します/current-user。nodejs サーバーによって受信されたセッション ID が異なるため、別のセッションが作成されます

4

2 に答える 2

1

セッションの永続性が必要な場合は、express-sessionモジュールを正しく構成したことを確認する必要があります。パラメータは重要ですresavesaveUninitialized

ドキュメントから:

再保存

リクエスト中にセッションが変更されなかった場合でも、セッションを強制的にセッション ストアに保存します。ストアによってはこれが必要になる場合がありますが、クライアントがサーバーに対して 2 つの並行リクエストを作成し、1 つのリクエストでセッションに加えられた変更が、変更を加えていない場合でも、他のリクエストが終了したときに上書きされる競合状態が発生する可能性もあります。 (この動作は、使用しているストアによっても異なります)。

デフォルト値は true ですが、デフォルトは将来変更されるため、デフォルトの使用は推奨されていません。この設定を調べて、ユースケースに適したものを選択してください。通常、false が必要です。

これが自分のストアに必要かどうかはどうすればわかりますか? 知る最良の方法は、タッチ方法を実装しているかどうかをストアに確認することです。そうであれば、安全に resave: false を設定できます。touch メソッドを実装しておらず、ストアが保存されたセッションに有効期限を設定している場合は、おそらく resave: true が必要です。

初期化されていない保存

「初期化されていない」セッションを強制的にストアに保存します。セッションは、新しいが変更されていない場合、初期化されていません。false を選択すると、ログイン セッションの実装、サーバー ストレージの使用量の削減、または Cookie を設定する前に許可が必要な法律への準拠に役立ちます。false を選択すると、クライアントがセッションなしで複数の並列リクエストを行う競合状態にも役立ちます。

デフォルト値は true ですが、デフォルトは将来変更されるため、デフォルトの使用は推奨されていません。この設定を調べて、ユースケースに適したものを選択してください。

Session を PassportJS と組み合わせて使用​​している場合、Passport は、ユーザーが認証された後に使用するために空の Passport オブジェクトをセッションに追加します。これは、セッションへの変更として扱われ、保存されます。

私のアプリケーションの1つにこれがあり、動作しています:

app.use(session({
    store: new RedisStore({
        host: config.redis_instance_local_ip,
        port: config.redis_instance_local_port
    }),
    secret: config.application_session_secret,
    resave: false,
    saveUninitialized: true
}));

さらに、複数のノードでスティッキー セッション (またはセッションの永続性) を nginx によって負荷分散したい場合は、商用バージョンの nginx、nginx plus が必要です。http://nginx.com/products/session-persistence/を参照してください

于 2015-06-12T13:10:03.513 に答える