Очень простой вопрос, но, вероятно, я упускаю что-то очень важное в общей картине. Я не могу понять, нужен ли паспорт.js или нет при использовании аутентификации JWT. В большинстве примеров это есть, но я не вижу необходимости.
В моем приложении есть маршрут /login, и после успешной аутентификации пользователя (локальная аутентификация, проверка пользователя, пара хэшей в базе данных) я создаю токен с идентификатором пользователя, устанавливаю срок действия, подписываю его и отправляю назад как файл cookie в ответе. Затем я проверяю необходимые файлы cookie, расшифровываю их и, если они содержат идентификатор пользователя и срок их действия не истек, я считаю запрос аутентифицированным. (тоже трафик https только если он что-то меняет)
Я делаю что-то не так, так как у меня нет паспорта и т. д. в процессе?
passport.js
— это реализация, использующая JWT. Это не требуется. - person zero298   schedule 09.11.2017