纵横研究院NodeJS技术专题社区

【原创】node.js构建web应用(一)

2019-05-13  本文已影响11人  麻烦来一大碗猫

基础功能

对于一个web应用而言,我们在具体业务中可能有如下需求:

  1. 请求方法判断
  2. url的路径解析
  3. url中查询字符传解析
  4. cookie的解析
  5. basic认证
  6. 表单数据的解析
  7. 任意格式文件的上传处理
  8. session会话需求

请求方法

常见的请求方法:GET、POST、DELETE、PUT、HEAD、CONNECT等。请求方法存在与报文的第一行的第一个单词:

> GET /path?foo=baz HTTP/1.1
> User-Agent: curl/7.24.0 (x86_64-apple-darwin12.0) libcurl/7.24.0 OpenSSL/0.9.8r zlib/1.2.5
> Host 127.0.0.1:1337
> Accept: */*
>

http_parser在解析请求报文的时候,将报文头抽取出来,设置味req.method。

路径解析

路径部分存在于报文的第二部分,紧接着请求方法的后面。客户端代理沪江这个地址解析成报文,将路径和查询部分放在报文的第一行
常见的应用场景

  1. 静态文件服务器,根据路径去查找磁盘中的文件,然后将其响应给客户端:
 function (req, res) {
     var pathname = url.parse(req.url).pathname;
     fs.readFile(path.join(ROOT, pathname), function(err, file){
         if(err) {
             res.writeHeader(404);
             return;
         }
         res.writeHead(200);
         res.end(file);
     });
 }
  1. 根据路径来选择控制器,它预设路径味控制器和行为的组合
    /controller/action/a/b/c
    function (req, res) {
        var pathname = url.parse(req.url).pathname;
        var paths = pathname.split('/');
        var controller = paths[1] || 'index';
        var action = path[2] || 'index';
        var arg = paths.slice(3);
        if (hanldes[controller] && handles[controller][action]) {
            handles[controller][action].apply(null, [req, res].concat(args));
        } else {
            res.writeHead(500);
            res.end('找不到相应的控制器')
        }
    }

查询字符串

查询字段位于路径之后,如 127.0.0.1/path?name=hahaha&phone=110,name和phone两个字段就是查询字符串。node提供了querystring模块用于处理这部分数据

    var url = require('url');
    var querystring = require('querystring');
    var query = querystring.parse(url.parse(req.url).query);

    var query = url.parse(req.url, true).query;

以上两个方法会将上面的路径解析成一个Json对象:

{
    name: 'hahaha',
    phone: '110',
}

Cookie

标识和认证一个用户,Cookie处理分为以下几步:

  1. 服务器项客户端发送cookie
  2. 浏览器将cookie保存
  3. 之后每次浏览器都会将cookie法向服务器端
    客户端发送的cookie在请求保稳定饿cookie字段中,可以通过curl工具构造这个字段
 curl -v -H "Cookie: foo=bar; baz=val" "http://127.0.0.1:1337/path/name=hahaha&phone=110"

http_parser会将所有的报文字段解析到req.headers上,那么cookie就是req.headers.cookie。
当用户第一次访问站点的时候,服务端需要给客户端一个访问过的标识。告知客户端的方式事通过响应报文实现的,响应的cookie值在Set-Cookie字段中。贵方中的定义如下所示:

Set-Cookie: name=value; Path=/; Expires=Sun, 23-Apr-23 09:01:35 GMT; Domain=.domain.com;

其中name=value事必须包含的部分其它的参数可选。

Session

由于cookie提及过大,而且前后端都能进行修改,因此数据容易被篡改,所以cookie对于敏感数据的保护是无效的。而session数据只保留在服务器端,客户端无法修改,这样数据的安全性得到了一定的保障。
如何将每一个用户和服务器中的数据一一对应起来常见的两种方式:

  1. 基于cookie来实现用户和数据的映射
    一段服务端启用了session,它将约定一个键值来作为session的口令。一旦服务器检查到用户请求cookie中没有携带该值,它救护为之生成一个值,这个值是唯一切不重复的值,并设定超时时间。
     var session = {};
     var key = 'session_id';
     var EXPIRES = 20*60*1000; // 设置超时时间为20分钟
     
     var generate = function() {
         var session = {};
         session.id = (new Date()).getTime() + Math.random();
         session.cookie = {
             expire: (new Date()).getTime + EXPIRES
         };
         session[session.id] = session;
         return session;
     }
    
    每个请求到来时,检查cookie中的口令与服务器端的数据,如果过期,就重新生成,如下所示
         function (req, res) {
             var id = req.cookies[key];
             if(!id) {
                 req.session = generate();
             } else {
                 var session = sessions[id];
                 if(session) {
                     if(session.cookie.expire > (new Date()).getTime()) {
                         // 更新超时时间
                         session.cookie.expire = (new Date()).getTime() + EXPIRES
                     } else {
                         // 超时了,删除旧的数据,并冲i性能生成
                         delete sessions[id];
                         req.session = generate();
                     }
                 } else {
                     // 如果session过期或口令不对,重新生成session
                     req.session = generate();
                 }
             }
             handle(req, res);
         }
    
    重新生成session以后,还需要再响应给客户端时设置新的值,以便下次请求时能够对应服务器端的数据。
         var writeHead = res.writeHead;
         res.writeHead = function() {
             var cookie = res.getHeader('Set-Cookie');
             var session = serialize('Set-Cookie', req.session.id);
             cookie = Array.isArray(cookies) ? cookies.conact(session) : [cookies, session];
             res.setHead('Set-Cookie', cookies);
             return writeHead.apply(this, argumnets);
         };
    
  2. 通过查询字符串来实现浏览器端和服务器端数据的对应
    用户访问http://127.0.0.1/pathname时,服务器端发现查询字符串中不带session_id参数,就会将用户跳转到http://localhost/pathname?session_id=123456这样一个类似地址。但是这种方案带来的风险远大于基于cookie是按的风险,因为只要将地址栏中的地址发给另一个人,那么他就拥有跟你相同的身份。原理时查询请求的查询字符串,如果没有值,会先生成新的带值的url
        var getUrl = function(_url, key, value) {
            var obj = url.parse(_url, true);
            obj.query[key] = value;
            return url.format(obj);
        }
    
    形成跳转后,让客户端重新发起请求
        funtion(req, res) {
            var redirect =  function (url) {
                res.setHeader('Location', url);
                res.writeHead(302);
                res.end();
            }
            var id = req.query[key];
            if(!id) {
                var session = generate();
                redirect(getURL(req.url), key, session.id);
            } else {
                var session = sessions[id];
                if (session) {
                    if(session.cookie.expire > (new Date()).getTime()) {
                        // 更新超时时间
                        session.cookie.expire = (new Date()).getTime() + EXPIRES;
                        req.session = session;
                        handle(req, res);
                    } else {
                        // 超时了,删除旧的数据,并重新生成
                        delete sessions[id];
                        var session = generate();
                        redirect(getURL(req.url, key, session.id));
                    }
                } else {
                    // 如果session过期或口令不对,重新生成session
                    var session = generate();
                    redirect(getURL(req.url, key, session.id));
                }
            }
        }
    
上一篇下一篇

猜你喜欢

热点阅读