💡
这一章是《Node.js 实战》笔记，但是书中的源码实现与官方文档有出入，Connect “自带”的中间件好像是需要单个独立导入才能使用。
以下仅作为记录，实际项目使用待研究验证。

Connect 自带的中间件

Connect 自带的中间件可以满足常见的Web程序开发需求：

• 会话管理；
• cookie 解析；
• 请求主体解析
• 请求日志
• ...

下面的这些中间件是独立呈现的，需要npm单独导入

Connect 中间件 image

解析 cookie、请求主体和查询字符串的中间件

cookieParser()：解析HTTP cookie

Connect 的 cookie 解析器支持常规cookie、签名cookie和特殊的JSON cookie。
req.cookies默认是用常规未签名cookie组装而成的。如果你想支持session()中间件要求的签名cookie，在创建cookieParser()实例时要传入一个加密用的字符串。

const connect = require('connect');

// 作为参数传给cookieParser()的秘钥用来对cookie签名和解签
var app = connect()
    .use(connect.cookieParser('tobi is a cook ferret')) 
    .use(function (req, res) {
        console.log(req.cookies);
        console.log(req.signedCookies);
        res.end('hello\n');
    })
    .listen(3000);

// 不带cookie
// curl http://localhost:3000/

// 常规cookie
// curl http://localhost:3000/ -H "Cookie: foo=bar, bar=baz"

签名cookie

签名cookie更适合敏感数据，因为用它可以验证cookie数据的完整性，有助于防止中间人攻击。有效的签名cookie放在req.signedCookies对象中。

假设你设定了一个键为name，值为luna的签名cookie。cookieParser会将cookie编码为luna.PQLM0wNvqOQEObZXUkWbS5m6Wlg。每个请求中的哈希值都会检查，如果cookie完好无损地传上来，它会被解析为req.signedCookies.name:

JSON cookie

特别的JSON cookie带有前缀j:，告诉Connect它是一个串行化的JSON。 JSON cookie既可以是签名的，也可以是未签名的。

curl http://localhost:3000/ -H 'Cookie: foo=bar, bar=j:{"foo":"bar"}'

设定出站cookie

cookieParser() 中间件没有提供任何通过 Set-Cookie 响应头向HTTP客户端写出站cookie的功能。但Connect可以通过 res.setHeader()函数写入多个Set-Cookie响应头。

const connect = require('connect');

var app = connect()
    .use(function (req, res) {
        res.setHeader('Set-Cookie', 'foo=bar'); // 设定cookie：foo=bar
        res.setHeader('Set-Cookie', 'tobi=ferret; Expires=Tue, 08 Jun 2021 10:18:14 GMT'); // 设定cookie有效期
        res.end();
    }).listen(3000);

// curl http://localhost:3000/ --head

bodyParser()：解析请求主体

bodyParser() 组件为你提供了req.body 属性，可以用来解析 JSON、x-www-form-urlencoded 和multipart/form-data请求。如果是 multipart/form-data 请求，比如文件上传，则还有req.files 对象。

var app = connect()
    .use(connect.bodyParser())
    .use(function(req, res) {
        // ...注册用户
        res.end('Registered new user: ' + req.body.username);
    }).listen(3000);

因为 bodyParser() 是根据 Content-Type 解析数据的，输入形式是抽象的，所以你的程序中只需要关心req.body数据对象的结果。

limit()：请求主体的限制

目的：帮助过滤巨型的请求。

query()：查询字符串解析

• bodyParser()：解析 POST 请求
• query()：解析 GET 请求。

query中间件可以将请求发送过来的查询字符串以JSON格式作为响应返回去。

实现 Web 程序核心功能的中间件

• logger()：提供灵活的请求日志;
• favicon()：帮你处理/favicon.ico请求（favicon 是网站的小图标）;
• methodOverride()：让没有能力的客户端透明地重写req.method;
• vhost()：在一个服务器上设置多个网站(虚拟主机);
• session()：管理会话数据。

处理 Web 程序安全的中间件

• basicAuth()：为保护数据提供了HTTP基本认证;
• csrf()：实现对跨站请求伪造(CSRF)攻击的防护;
• errorhandler()：帮你在开发过程中进行调试。

提供静态文件服务的中间件

• static()：将文件系统中给定根目录下的文件返回给客户端;
• compress()：压缩响应，很适合跟static()一起使用;
• directory()：当请求的是目录时，返回那个目录的列表。