Node中cookie和session的使用
cookie
首先产生了 cookie 这门技术来解决这个问题,cookie 是 http 协议的一部分,它的处理分为如下几步:
- 服务器向客户端发送 cookie。
- 通常使用 HTTP 协议规定的 set-cookie 头操作。
- 规范规定 cookie 的格式为 name = value 格式,且必须包含这部分。
- 浏览器将 cookie 保存。
每次请求浏览器都会将 cookie 发向服务器。其他可选的 cookie 参数会影响将 cookie 发送给服务器端的过程,主要有以下几种: - path:表示 cookie 影响到的路径,匹配该路径才发送这个 cookie。
- expires 和 maxAge:告诉浏览器这个 cookie 什么时候过期,expires 是 UTC 格式时间,maxAge 是 cookie 多久后过期的相对时间。当不设置这两个选项时,会产生 session cookie,session cookie 是 transient 的,当用户关闭浏览器时,就被清除。一般用来保存 session 的 session_id。
- secure:当 secure 值为 true 时,cookie 在 HTTP 中是无效,在 HTTPS 中才有效。
- httpOnly:浏览器不允许脚本操作 document.cookie 去更改 cookie。一般情况下都应该设置这个为 true,这样可以避免被 xss 攻击拿到 cookie。
const express = require('express')
const http = require('http')
const router = require('./router')
const path = require('path')
const cookieParser = require('cookie-parser')
const app = express()
// 第一步 设置签名 string
app.use(cookieParser('singedMyCookie'))
app.use(express.static(__dirname))
app.use('/api', router)
app.get('*', (req, res) => {
const indexHtmlUrl = path.resolve(__dirname, './index.html')
if (req.signedCookies.bwf) {
// 第三步: 使用signedCookies获取cookie (采用签名形式获取cookie的方法: req.signedCookies.
console.log(req.signedCookies);
res.send("再次欢迎访问");
} else {
// 第二步: 设置{signed: true}
res.cookie('bwf', '1234', {signed: true, maxAge: 6 * 1000, path: '/'})
res.sendFile(indexHtmlUrl)
}
})
http.createServer(app).listen(3000)
session
express 在 4.x 版本之后,session管理和cookies等许多模块都不再直接包含在express中,而是需要单独添加相应模块。express4 中操作 cookie 使用 cookie-parser 模块。
cookie 虽然很方便,但是使用 cookie 有一个很大的弊端,cookie 中的所有数据在客户端就可以被修改,数据非常容易被伪造,那么一些重要的数据就不能存放在 cookie 中了,而且如果 cookie 中数据字段太多会影响传输效率。为了解决这些问题,就产生了 session,session 中的数据是保留在服务器端的。
session 的运作通过一个 session_id 来进行。session_id 通常是存放在客户端的 cookie 中,比如在 express 中,默认是 connect.sid 这个字段,当请求到来时,服务端检查 cookie 中保存的 session_id 并通过这个 session_id 与服务器端的 session data 关联起来,进行数据的保存和修改。
这意思就是说,当你浏览一个网页时,服务端随机产生一个 1024 比特长的字符串,然后存在你 cookie 中的 connect.sid字 段中。当你下次访问时,cookie 会带有这个字符串,然后浏览器就知道你是上次访问过的某某某,然后从服务器的存储中取出上次记录在你身上的数据。由于字符串是随机产生的,而且位数足够 多,所以也不担心有人能够伪造。伪造成功的概率比坐在家里编程时被邻居家的狗突然闯入并咬死的几率还低。
session 可以存放在 1)内存、2)cookie本身、3)redis 或 memcached 等缓存中,或者4)数据库中。线上来说,缓存的方案比较常见,存数据库的话,查询效率相比前三者都太低,不推荐;cookie session 有安全性问题,下面会提到。
express 中操作 session 要用到 express-session (https://github.com/expressjs/session ) 这个模块,主要的方法就是session(options),其中 options 中包含可选参数,主要有:
- name: 设置 cookie 中,保存 session 的字段名称,默认为 connect.sid 。
- store: session 的存储方式,默认存放在内存中,也可以使用 redis,mongodb 等。express 生态中都有相应模块的支持。
- secret: 通过设置的 secret 字符串,来计算 hash 值并放在 cookie 中,使产生的 signedCookie 防篡改。
- cookie: 设置存放 session id 的 cookie 的相关选项,默认为
(default: { path: '/', httpOnly: true, secure: false, maxAge: null }) - genid: 产生一个新的 session_id 时,所使用的函数, 默认使用 uid2 这个 npm 包。
- rolling: 每个请求都重新设置一个 cookie,默认为 false。
- resave: 即使 session 没有被修改,也保存 session 值,默认为 true。
1) 在内存中存储 session
const express = require('express')
const session = require('express-session')
const app = express()
app.use(session({
secret: 'jinghong',
cookie: { maxAge: 60 * 1000 }
}))
app.get('/', function (req, res) {
if (req.session.isVisited) {
req.session.isVisited ++
res.send(`第${req.session.isVisited}访问`)
} else {
req.session.isVisited = 1
res.send('第一次访问')
}
})
app.listen(3000);
2) 在 redis 中存储 session
ession 存放在内存中不方便进程间共享,因此可以使用 redis 等缓存来存储 session。
假 设你的机器是 4 核的,你使用了 4 个进程在跑同一个 node web 服务,当用户访问进程1时,他被设置了一些数据当做 session 存在内存中。而下一次访问时,他被负载均衡到了进程2,则此时进程2的内存中没有他的信息,认为他是个新用户。这就会导致用户在我们服务中的状态不一致。
使用 redis 作为缓存,可以使用 connect-redis 模块(https://github.com/tj/connect-redis )来得到 redis 连接实例,然后在 session 中设置存储方式为该实例。
var express = require('express');var session = require('express-session');var redisStore = require('connect-redis')(session);var app = express();
app.listen(5000);
app.use(session({ // 假如你不想使用 redis 而想要使用 memcached 的话,代码改动也不会超过 5 行。
// 这些 store 都遵循着统一的接口,凡是实现了那些接口的库,都可以作为 session 的 store 使用,比如都需要实现 .get(keyString) 和 .set(keyString, value) 方法。
// 编写自己的 store 也很简单
store: new redisStore(),
secret: 'somesecrettoken'}));
app.get('/', function (req, res) { if(req.session.isVisit) {
req.session.isVisit++;
res.send('<p>第 ' + req.session.isVisit + '次来到此页面</p>');
} else {
req.session.isVisit = 1;
res.send('欢迎第一次来这里');
}
});
原文:
https://niefengjun.cn/blog/576c6f44353308f7389956822726645b.html
https://segmentfault.com/a/1190000010306099
