Express: è possibile ignorare le sessioni per i file statici?

Question

Sto utilizzando una configurazione abbastanza semplice di Express + Mongoose + Passport + Connect-mongo e tutto funziona correttamente. L'unica cosa che mi lascia perplessa è che posso vedere il passport.unserializeUser chiamato anche per i file statici, che è - dal mio punto di vista applicativo - assolutamente inutile.

Posso capire che ci sono casi in cui si desidera che i file statici vengano serviti anche con una sorta di autorizzazione, ma mi chiedo come potrei "saltare" l'intero middleware di sessione nel caso in cui sto servendo un file statico .

(In un ambiente di produzione non ho potuto utilizzare i cookie per le attività)

Answer 1

Il middleware è richiamato nell'ordine in cui è stato aggiunto. Basta spostare il middleware statico per essere molto presto nel tuo app.js.

Ad esempio:

app.use(express.static(__dirname + "/public")); 
// any other middleware 
app.use(passport()); // or whatever your passport config looks like 

Answer 2

Si potrebbe servire i file statici da un altro dominio, che non memorizza i cookie. Ciò significa anche che non è possibile eseguire alcun controllo (di sicurezza) prima di servire quei file.

Questa tecnica viene utilizzata da vari siti, come StackOverflow, Facebook e LinkedIn.