会话

会话表示登录到设备的用户实例。当用户登录或注册时会自动创建会话。当用户注销时，它们会自动删除。每个“user-installation”对都有一个不同的Session对象; 如果用户从已经登录的设备发出登录请求，该用户Installation上之前的Session对象将被自动删除。Session对象存储在Parse上的Session类中，您可以在Parse数据浏览器上查看它们。我们提供一组API来管理您应用中的Session对象。

Session是Parse Object的子类，因此您可以以与Parse中操作正常对象相同的方式查询、更新和删除sessions。因为Parse Cloud会在您登录或注册用户时自动创建sessions，因此您不应手动创建Session对象，除非您正在构建“Parse IoT”应用程序（如Arduino或Embedded C）。删除Session将会把正在使用此会话令牌的设备中的用户注销掉。

与其他Parse对象不同，Session类没有Cloud Code触发器。所以你不能为Session类注册一个beforeSave或者afterSave处理程序。

1.Session 属性

Session对象具有以下特殊字段：

• sessionToken（只读）：用于在Parse API请求上进行身份验证的字符串令牌。在Session查询响应中，只有当前Session对象包含一个会话令牌。
• user：（只读）指向此会话所用User对象的指针。
• createdWith（只读）：有关如何创建此会话的信息（例如{ "action": "login", "authProvider": "password"}）。
• • action可以有以下值：login，signup，create，或upgrade。create action是指开发者通过存储Session对象手动创建会话。upgrade action是指用户从旧会话令牌升级到可撤销会话。
• • authProvider可以有以下值：password，anonymous，facebook，或twitter。
• restricted （只读）：此会话是否受限制，为布尔值。
• • 受限的会话没有对Parse上的User和Session，和Role类的写入权限。受限的会话也无法读取不受限的会话。
• • 在用户登录/注册期间，Parse Cloud自动创建的所有会话将不受限制。开发人员从客户端（仅对“Parse for IoT”应用程序）通过保存一个新的Session对象而手动创建的所有会话都是受限的。
• expiresAt（只读）：该Session对象将被自动删除时的大约UTC日期。您可以在应用程序的Parse.com dashboard设置页面中配置会话过期时间（1年不活动则到期或无过期）。
• installationId（只能设置一次）：表示会话登录位置的Installation字符串。对于Parse SDK，当用户登录或注册时，该字段将自动设置。除installationId外的所有特殊字段，只能由Parse Cloud自动设置。您可以将自定义字段添加到Session对象中，但请记住，任何已登录的设备（带有会话令牌）都可以读取属于同一用户的其他会话（除非您禁用类级权限，请参见下文）。

2.处理无效的session Token错误

对于可撤销会话，如果从Parse Cloud中删除其对应的Session对象，则当前会话令牌可能无效。如果您实现了一个会话管理器UI可允许用户在其他设备上注销，或者手动通过Cloud Code，REST API或数据浏览器删除会话，则可能会发生这种情况。会话也可能由于自动过期（如果在应用设置中配置）被删除。只要设备的会话令牌不再与Parse Cloud上的Session对象相对应时，来自该设备的所有API请求都将失败，并显示“错误209：无效的会话令牌”（Error 209: invalid session token）。

为了处理这个错误，我们建议您编写一个由所有Parse请求错误回调调用的全局公用函数。然后，您可以在此全局函数中处理“无效会话令牌”错误。您应该提示用户再次登录，以便他们可以获得一个新的会话令牌。代码如下所示：

function handleParseError(err) {
  switch (err.code) {
    case Parse.Error.INVALID_SESSION_TOKEN:
      Parse.User.logOut();
      ... // If web browser, render a log in screen
      ... // If Express.js, redirect the user to the log in route
      break;

    ... // Other Parse API errors that you want to explicitly handle
  }
}

// For each API request, call the global error handler
query.find().then(function() {
  ...
}, function(err) {
  handleParseError(err);
});

3.Session 安全

Session对象只能由用户字段中指定的用户访问。所有Session对象都具有只有该用户可读写的ACL。您不能更改此ACL。这意味着查询会话只会返回与当前登录用户匹配的对象。

当您通过User login方法登录用户时，Parse会自动在Parse Cloud中创建一个新的不受限Session对象。注册操作和Facebook/Twitter登录时也一样。

从客户端SDK手动创建会话对象（创建一个Session实例并保存）始终是受限的。您不能使用对象创建API手动创建一个不受限的会话。

受限会话被禁止创建、修改、或删除User、Session以及Role类中的任何数据。受限会话也无法读取不受限的会话。受限会话对于“Parse for IoT”设备（例如Arduino或 Embedded C）很有用，相对移动应用程序，它们很可能运行在不太可靠的物理环境。但是，请记住，受限会话仍然可以读取User，Session以及Role类的数据，并可以像正常的session一样读/写任何其他类的数据。因此，对于物联网设备，使其处于安全的物理环境，理想情况下使用加密存储来保存会话令牌，仍然至关重要。

如果你想防止受限会话修改User、Session或者Role之外的其他类，你可以为该类写一个Cloud Code beforeSave处理程序：

Parse.Cloud.beforeSave("MyClass", function(request, response) {
  Parse.Session.current().then(function(session) {
    if (session.get('restricted')) {
      response.error('write operation not allowed');
    }
    response.success();
  });
});

您可以像Parse中的其他类一样为Session类配置类级别权限（CLP）。CLP通过Session API 限制会话的读取/写入，但是当用户登录，注册和注销时，不会限制Parse Cloud的自动会话创建/删除操作。我们建议您禁用应用程序不需要的所有CLP。以下是会话CLP的常见用例：

• Find, Delete - 用于构建了UI界面，允许用户在所有设备上查看其活动会话，并在其他设备上注销会话。如果您的应用没有此功能，您应该禁用这些权限。
• Create - 用于“Parse for IoT”应用程序（例如Arduino或嵌入式C），为除手机应用程序之外的其他设备提供受限的用户会话。在构建移动和网络应用程序时，应禁用此权限。对于“Parse for IoT”应用程序，您应该检查您的IoT设备是否实际需要访问用户特定的数据。如果没有，那么您的IoT设备不需要用户会话，您应该禁用此权限。
• Get, Update, Add Field - 除非需要这些操作，否则应禁用这些权限。