node.js - 可以操纵passport.js 的req.user 吗？

问题描述

在我的 api 中，每当我收到请求时，我都会检查 req.user._id，当你有使用 passportJS 身份验证中间件的 nodejs 时，它会添加到任何请求中。

我的问题是：黑客可以发送一个帖子请求并用不属于他们的 id 填充 req.user._id 的参数吗？

如果不是，你能解释一下为什么吗？

标签： node.jssecurityauthenticationpostpassport.js