Node - 构建web应用
基础功能
对一个web应用而言,具体的业务中,我们可能有如下需求:
1.请求方法的判断
2.URL的路径解析
3.URL中查询字符串解析
4.Cookie的解析
5.Session的使用
6.Basic认证
7.表单数据的解析
8.任意格式文件的上传处理
请求方法
客户端向服务端发送报文,服务端解析报文,发现HTTP请求头时,调用http_parser模块解析请求报文,并将属性解析出来定义到ServerRequest对象上,其中请求方法被设置为req.method。在RESTful类web服务中请求方法十分重要,使用PUT、DELETE、POST、GET来分别决定对资源的操作行为。
路径解析
http_parser将路径解析为req.url,不包括hash部分。
查询字符串
var url = require('url');
var queryString = require('querystring');
var str = 'https://www.iconfont.cn/search/index?q=504&page=3';
console.log(url.parse(str));
// {
// protocol: 'https:',
// slashes: true,
// auth: null,
// host: 'www.iconfont.cn',
// port: null,
// hostname: 'www.iconfont.cn',
// hash: null,
// search: '?q=504&page=3',
// query: 'q=504&page=3',
// pathname: '/search/index',
// path: '/search/index?q=504&page=3',
// href: 'https://www.iconfont.cn/search/index?q=504&page=3'
// }
console.log(url.parse(str).query); // q=504&page=3
console.log(url.parse(str, true).query) //传值true 序列化 -> { q: '504', page: '3' }
console.log(queryString.parse(url.parse(str).query)); // { q: '504', page: '3' }
要注意的点是,如果查询字符串中的键出现多次,那么它的值会是一个数组。
// foo=bar&foo=baz
{
foo: ['bar', 'baz']
}
cookie
HTTP是一个无状态的协议,现实中的业务却是需要一定的状态的,否则无法区分用户之间的身份,如何标识和认证一个用户,最早的方案就是cookie了。
cookie的处理分为如下几步:
1.服务器向客户端发送cookie
2.浏览器将cookie保存
3.之后每次浏览器都会将cookie发向服务器
http_parser将cookie解析为ServerRequest对象的req.headers.cookie。cookie值的格式是:key1=value1;key2=value2
服务端如何向客户端发送cookie,响应的cookie值在set-cookie字段中。
Set-Cookie: name=value; Path=/; Expires=Sun, 23-Apr-23 09:01:35 GMT; Domain=.domain.com;
path: 表示这个cookie影响到的路径,当前访问路径不满足时,不发送这个cookie。cookie配置path会向下传递,配置根路径,则所有页面都会带上这个cookie。
Expires和Max-Age:表示cookie的过期时间,Expires是格林威治时间,指的是过期时间,Max-age指这条cookie多久后过期,单位为毫秒
HttpOnly告知浏览器不允许通过脚本document.cookie去修改cookie的值,设置之后,这个值在document.cookie中不可见,但是在请求时依然会发送到服务器。
Secure:当Secure值为true时,在HTTP中是无效的,在HTTPS中才有效
Domain:可以使多个web服务器共享cookie,默认是创建cookie的网页所在的主机名,不能将一个cookie的域设置成服务器所在域之外的域。如果a.example.com的页面创建的cookie把自己的path属性设置为“/”,把domain属性设置成“.example.com”,那么所有位于a.example.com的网页和所有位于b.example.com的网页,以及位于example.com域的其他服务器上的网页都可以访问这个cookie。
var serialize = function (name, val, opt) {
var pairs = [name + '=' + encode(val)];
opt = opt || {};
if (opt.maxAge) pairs.push('Max-Age=' + opt.maxAge);
if (opt.domain) pairs.push('Domain=' + opt.domain);
if (opt.path) pairs.push('Path=' + opt.path);
if (opt.expires) pairs.push('Expires=' + opt.expires.toUTCString()); if (opt.httpOnly) pairs.push('HttpOnly');
if (opt.secure) pairs.push('Secure');
return pairs.join('; ');
};
// 服务器发送
res.setHeader('Set-Cookie', serialize('isVisit', '1'));
// Set-cookie: isVisit=1;
// 发送多个值
res.setHeader('Set-Cookie', [serialize('isVisit', '1'),serialize('user_id', '999')]);
// 这样在响应报文中会形成两条Set-Cookie字段
// Set-Cookie: isVisit=1; Path=/; Expires=Sun, 23-Apr-23 09:01:35 GMT; Domain=.domain.com;
// Set-Cookie: user_id=999; Path=/; Expires=Sun, 23-Apr-23 09:01:35 GMT; Domain=.domain.com
Cookie的性能影响
-
减小Cookie的大小:如果在根路径设置Cookie,那么几乎所有子路径都会带上这些Cookie,但并不是所有页面都需要,所以一定要合理利用Path。
-
为静态组件使用不同的域名:为不需要Cookie的静态组件换个域名可以减少无效的Cookie的传输,而且主机名的不同就能增加浏览器并行下载的数量,但是主机名不是越多越好,因为每多一个域名就多一次DNS查询。
Cookie除了可以通过后端添加协议头的字段设置外,在前端浏览器中也可以通过JavaScript进行修改,浏览器将Cookie通过document.cookie暴露给JavaScript,前端在修改Cookie之后,后续的网络请求中就会携带上修改后的值。
Session
通过Cookie,浏览器和服务器可以实现状态的记录,但是Cookie是有大小限制,而且最大的问题,是不安全,前后端都能修改,甚至用户能直接通过浏览器修改Cookie,为了解决安全问题,Session应运而生,Session的数据只保留在服务端,客户端无法修改,也无须在协议中每次都被传递。
但是如何将客户和服务器中的数据一一对应起来,有两种实现方式
基于Cookie来实现用户和数据的映射
将数据放在Session中,将口令放在Cookie中,因为如果客户端篡改了口令就失去了映射关系,也就无法访问和修改服务端中的数据,并且session的有效期通常较短,通常为20分钟,如果20分钟客户端和服务端没有交互产生,服务端就会将数据删除。
一旦服务器启用了session,就会约定一个键作为Session的口令,比如'session_id',一旦服务器检查到用户请求的Cookie中没有该值,它就会为之生成一个值,且这个值是唯一且不重复的,并且设置超时时间。
var sessions = {};
var key = 'session_id';
var EXPIRES = 20 * 60 * 1000;
var generate = function (res) {
var session = {};
session.id = (new Date()).getTime() + Math.random();
session.cookie = {
expires: (new Date()).getTime() + EXPIRES
};
sessions[session.id] = session;
res.setHeader('Set-Cookie', `${key}=${session.id}`) // session_id=1573096605319.127
return session;
};
function (req, res) {
var id = req.cookies[key]; // 获取浏览器发送的cookie有没有键为session_id的
// 没有就生成一个 session {id: 1573096605319.127, cookie: { expires: 1573097914736} },
// 并存储在全局的sessions中 sessions { '1573096605319.127': {id: 1573096605319.127, cookie: { expires: 1573097914736} }}
if (!id) {
req.session = generate(res);
} else {
var session = sessions[id]; // 根据id从全局sessions中取出session
if (session) {
// 如果session存在 查收过期了
if (session.cookie.expires > (new Date()).getTime()) {
// 未过期 设置新的过期时间
session.cookie.expires = (new Date()).getTime() + EXPIRES;
// 设置新的session
req.session = session;
} else {
// 从全局sessions中删除旧的数据,重新生成
delete sessions[id];
req.session = generate(res);
}
} else {
// 根据id没有取到session,重新生成
req.session = generate(res);
}
}
handle(req, res);
}
通过查询字符串来实现浏览器和服务器端数据的对应
检查请求的查询字符串,如果没有值,会先生成新的URL去重定向;
var redirect = function (url) {
res.setHeader('Location', url);
res.writeHead(302);
res.end();
};
Session与内存
如果我们都将Session数据存在全局变量中,即位于内存中,这样将会带来隐患,如果用户增多,很可能就接触到了内存限制的上限,并且内存中的数据量加大,必然会引起垃圾回收的频繁扫描,引起性能问题。
另一个问题是我们可能会为了利用多核CPU而启动多个进程,用户请求的连接将可能分配到各个进程中,Node的进程与进程之间是不能直接共享内存的,用户的Session可能会引起错乱。
为了解决性能问题和Session数据无法跨进程共享的问题,常用方案就是将Session集中化,将原本可能分散在多个进程里的数据,统一转移到集中的数据存储中。比如Redis,通过这些高效的缓存,Node进程无须在内部维护数据对象,垃圾回收问题和内存限制问题可以迎刃而解。
采用第三方缓存来存储Session会引起网络访问,相比访问本地磁盘中的数据的速度要慢,尽管如此,还是会采用第三方高速存储,是因为:
1.Node与缓存服务保持长连接,握手导致的延迟只影响初始化。
2.高速存储直接在内存中进行数据存储和访问。
3.缓存服务通常与Node进程运行在相同的机器上或者相同的机房里,网络速度受到的影响较小
// 获取存储在缓存中的Session数据,是异步的。
// 取
store.get(id, function(err, data){})
// 保存
store.save(req.session);
Session与安全
将口令的值加密
const crypto = require('crypto');
const SECRET = '1dmpoqjdfpoje1p2dq,w[dk1';
const key = 'session_id';
function sign(str, secret) {
return crypto.createHach('md5')
.update(str + secret)
.digest('base64');
}
// 加入到cookie中
var val = sign(req.sessionID, SECRET);
res.setHeader('Set-Cookie', cookie.serialize(key, val));
这样只要不知道私钥的值,就无法伪造签名信息,以此实现对Session的保护。
缓存
传统客户端在安装后的应用过程中仅仅需要传输数据,Web应用还需要传输构成界面的组件(HTML,CSS,JS文件),这部分内容在大多数场景下并不经常变更,却需要在每次的应用中向客户端传递,所以对这一部分需要使用缓存。
{{% notice info %}}
参考:缓存、ETag
{{% /notice %}}
协商缓存: If-Modified-Since/Last-Modified 和 If-None-Match/ETag
强制缓存:Expires 和 Cache-Control
Basic认证
Basic认证是当客户端与服务端进行请求时,允许通过用户名和密码实现的一种身份认证方式。
如果一个页面需要Basic认证,它会检查请求报文中的Authorization字段,该字段的值由认证方式和加密值构成。
<!-- 请求头 -->
Authorization: Basic dXNlcjpwYXNz
在Basic认证中,它会将用户和密码部分组合:username:password,然后进行Base64编码。
var encode = function (username, password) {
return new Buffer(username + ':' + password).toString('base64');
};
如果用户首次访问该页面,URL地址中也没有带认证内容,那么浏览器会响应一个401未授权的状态码。
function (req, res) {
var auth = req.headers['authorization'] || '';
var parts = auth.split(' ');
var method = parts[0] || ''; // Basic
var encoded = parts[1] || ''; // dXNlcjpwYXNz
var decoded = new Buffer(encoded, 'base64').toString('utf-8').split(":"); // 解码
var user = decoded[0]; // user
var pass = decoded[1]; // pass
if (!checkUser(user, pass)) {
// 响应头中的WWW-Authenticate字段告知浏览器采用什么样的认证和加密方式
// 未认证会有交互框弹出
res.setHeader('WWW-Authenticate', 'Basic realm="Secure Area"');
res.writeHead(401);
res.end();
} else {
handle(req, res);
}
}
Basic认证有太多的缺点,使用Base64编码加密后在网络中传送,近乎于明文传输。
