在实现身份验证的代码中，避免使用联合身份提供者进行会话验证。建议使用本地会话验证，或者使用与身份提供者无关的标准协议（如OAuth2.0）进行验证。

示例代码（使用OAuth2.0验证）：

// 定义OAuth2.0验证配置 var oauth2 = require('simple-oauth2').create({ client: { id: 'YOUR_APP_ID', secret: 'YOUR_APP_SECRET' }, auth: { tokenHost: 'https://YOUR_AUTH_HOST', authorizePath: '/authorize', tokenPath: '/token' } });

// 处理用户登录请求 app.get('/login', function(req, res) { // 生成随机状态值，用于请求和响应时进行验证 var state = crypto.randomBytes(20).toString('hex');

// 将状态值保存在会话中 req.session.state = state;

// 生成授权请求URL var authorizationUri = oauth2.authorizationCode.authorizeURL({ redirect_uri: 'http://YOUR_APP/callback', scope: 'openid email profile', state: state });

// 重定向到授权请求URL res.redirect(authorizationUri); });

// 处理OAuth2.0回调请求 app.get('/callback', function(req, res) { // 检查状态值是否匹配 if (req.query.state !== req.session.state) { return res.status(401).send('Authorization failed: state does not match'); }

// 通过授权码获取访问令牌 oauth2.authorizationCode.getToken({ code: req.query.code, redirect_uri: 'http://YOUR_APP/callback' }).then(function(result) { // 使用访问令牌向身份提供者请求用户信息 var accessToken = oauth2.accessToken.create(result); return request.get('https://YOUR_IDP/userinfo', { 'auth': { 'bearer': accessToken.token.access_token }