Expressjs nicht zerstören Sitzung

Ich habe eine Backbone-View sendet ein Ajax-Aufruf an den server zu entfernen, eine Sitzung.

Auf dem server folgende Ereignis ausgelöst:

app.delete('/session', function(req, res) {
    if (req.session) {
        req.session.destroy(function() {
            res.clearCookie('connect.sid', { path: '/' });
            res.send('removed session', 200);
        });
    } else {
        res.send('no session assigned', 500);
    }
});

Das seltsame daran ist, ich kann drücken Sie den logout-button mehrere Male, ohne immer ein HTTP 500-Fehlercode. Auch chromium zeigt mir, dass ein cookie noch vorhanden ist.

Was mache ich falsch?

Hinsichtlich

BEARBEITEN:

Fand ich heraus, dass dies nicht direkt ein session-Problem, sondern ein cookie.
Ich fügte hinzu, res.clearCookie der route. Leider ist das Verhalten (cookie, session keep alive) hat sich nicht geändert,

EDIT2:
Ich jetzt gab res.clearCookie einige Parameter => res.clearCookie('verbinden.sid', { path: '/' });
Nun, zumindest das cookie ist Weg in den browser. Aber die session scheint immer noch verfügbar.
Oder zumindest die, die ich anrufen kann den logout-route, wie oft ich will, auch erf.Sitzung false sein sollte

EDIT3:
Habe ich jetzt entfernt, alle Sitzungen aus redis und neu gestartet und alles (redis, Knoten, browser).
Als ich wieder eingeloggt und ausgeloggt. Das funktioniert so weit, aber wenn ich reload der Seite mit F5, ich bekomme eine neue session. WARUM?

Was passiert, wenn Sie delete req.session;
Dies hat keine Auswirkung auf die Sitzung zumindest nicht für die nächste Anforderung, da Sie nur lokal entfernen Sie die variable nicht die redis-Taste. req.Sitzung.zerstören entfernt diese auch. Aber siehe update
Sie müssen nicht unbedingt haben, deaktivieren Sie die cookie, die eine Verbindung herstellen, geben Sie eine neue Sitzung in dem Falle eine, die nicht existiert, vielleicht ist es das, was Sie wahrnehmen, als die gleiche session?
Nur eine einfache fahne wie authenticated: true
senchalabs.org/connect/session.html

InformationsquelleAutor bodokaiser | 2012-07-20

Konzentrieren alle Kommentare zusammen, die ich geschrieben habe eine Antwort:

Weil express erzeugt immer eine session und ein cookie für den client haben wir es mit einem anderen Ansatz als nur zu überprüfen, ob es eine Sitzung.

Diese Teile Griffe Anmeldungen

app.post('/session', function(req, res) {
    User.findOne({ username: req.body.username })
        .select('salt') //my mongoose schema doesn't fetches salt
        .select('password') //and password by default
        .exec(function(err, user) {
            if (err || user === null) throw err; //awful error handling here
            //mongoose schema methods which checks if the sent credentials
            //are equal to the hashed password (allows callback)
            user.hasEqualPassword(req.body.password, function(hasEqualPassword) {
                if (hasEqualPassword) {
                    //if the password matches we do this:
                    req.session.authenticated = true; //flag the session, all logged-in check now check if authenticated is true (this is required for the secured-area-check-middleware)
                    req.session.user = user; //this is optionally. I have done this because I want to have the user credentials available
                    //another benefit of storing the user instance in the session is
                    //that we can gain from the speed of redis. If the user logs out we would have to save the user instance in the session (didn't tried this)
                    res.send(200); //sent the client that everything gone ok
                } else {
                    res.send("wrong password", 500); //tells the client that the password was wrong (on production sys you want to hide what gone wronge)
                }
            });
        });
});

Wurde der login-Teil gehen können, um die logout:

app.delete('/session', function(req, res) {
    //here is our security check
    //if you use a isAuthenticated-middleware you could make this shorter
    if (req.session.authenticated) {
        //this destroys the current session (not really necessary because you get a new one
        req.session.destroy(function() {
            //if you don't want destroy the whole session, because you anyway get a new one you also could just change the flags and remove the private informations
            //req.session.user.save(callback(err, user)) //didn't checked this
            //delete req.session.user;  //remove credentials
            //req.session.authenticated = false; //set flag
            //res.clearCookie('connect.sid', { path: '/' }); //see comments above                res.send('removed session', 200); //tell the client everything went well
        });
    } else {
        res.send('cant remove public session', 500); //public sessions don't containt sensible information so we leave them
    }
});

Hoffe, das hilft

InformationsquelleAutor bodokaiser

Schreibe einen Kommentar

Du musst angemeldet sein, um einen Kommentar abzugeben.