一 Cookie

因?yàn)镠TTP協(xié)議是沒(méi)有狀態(tài)的，但很多情況下是需要一些信息的，比如在用戶(hù)登陸后、再次訪問(wèn)網(wǎng)站時(shí)，沒(méi)法判斷用戶(hù)是否登陸過(guò)。于是就有了cookies，用于在瀏覽器端保存用戶(hù)數(shù)據(jù)，它有如下特點(diǎn)

1 是在客戶(hù)端瀏覽器端才有的

2 用于記錄信息，大小最大為4K字節(jié)

3 如果使用了cookies，那么任何對(duì)該域名的訪問(wèn)都會(huì)帶上cookies

目前新型網(wǎng)站更多的采用瀏覽器緩存，cookie會(huì)存在一些問(wèn)題，比如你每次往服務(wù)器提交請(qǐng)求時(shí)，都會(huì)帶上cookie，無(wú)論是你訪問(wèn)的是不是靜態(tài)圖片。

cookie例子：

二 Session

session類(lèi)似服務(wù)器端的cookie，保存于服務(wù)器端，類(lèi)似于服務(wù)器緩存。用戶(hù)登陸了總需要驗(yàn)證吧，那么就在session中驗(yàn)證即可，session和cookie是一一對(duì)應(yīng)關(guān)系。

session的創(chuàng)建順序

生成全局唯一標(biāo)識(shí)符（sessionid）；

開(kāi)辟數(shù)據(jù)存儲(chǔ)空間。一般會(huì)在內(nèi)存中創(chuàng)建相應(yīng)的數(shù)據(jù)結(jié)構(gòu)，但這種情況下，系統(tǒng)一旦掉電，所有的會(huì)話數(shù)據(jù)就會(huì)丟失，如果是電子商務(wù)網(wǎng)站，這種事故會(huì)造成嚴(yán)重的后果。不過(guò)也可以寫(xiě)到文件里甚至存儲(chǔ)在數(shù)據(jù)庫(kù)中，這樣雖然會(huì)增加I/O開(kāi)銷(xiāo)，但session可以實(shí)現(xiàn)某種程度的持久化，而且更有利于session的共享；

將session的全局唯一標(biāo)示符發(fā)送給客戶(hù)端。

問(wèn)題的關(guān)鍵就在服務(wù)端如何發(fā)送這個(gè)session的唯一標(biāo)識(shí)上。聯(lián)系到HTTP協(xié)議，數(shù)據(jù)無(wú)非可以放到請(qǐng)求行、頭域或Body里，基于此，一般來(lái)說(shuō)會(huì)有兩種常用的方式：cookie和URL重寫(xiě)。

三 Set-Cookie

Cookie是如何被設(shè)置的呢？是被服務(wù)器返回的請(qǐng)求設(shè)置的。

服務(wù)器會(huì)返回一個(gè)set-cookie的消息，通知瀏覽器要設(shè)置cookie了，于是瀏覽器會(huì)根據(jù)set-cookie里的字段來(lái)設(shè)置信息了，比如上圖的信息就會(huì)設(shè)置session=r@rdegges.com

四 實(shí)戰(zhàn)

我們以client-session（express-session基本完全一樣）為例，為項(xiàng)目配置session

1 安裝模塊

var session = require('client-sessions');

2 配置session

app.use(session({
 cookieName: 'session',
 secret: 'random_string_goes_here',
 duration: 30 * 60 * 1000,
 activeDuration: 5 * 60 * 1000,
}));

1）secret：一個(gè)隨機(jī)字符串，因?yàn)榭蛻?hù)端的數(shù)據(jù)都是不安全的，所以需要進(jìn)行加密

2) duration：session的過(guò)期時(shí)間，過(guò)期了就必須重新設(shè)置

3) activeDuration: 激活時(shí)間，比如設(shè)置為30分鐘，那么只要30分鐘內(nèi)用戶(hù)有服務(wù)器的交互，那么就會(huì)被重新激活。

五 在Session中保存用戶(hù)信息

app.post('/login', function(req, res) {
 User.findOne({ email: req.body.email }, function(err, user) {
  if (!user) {
   res.render('login.jade', { error: 'Invalid email or password.' });
  } else {
   if (req.body.password === user.password) {
    
    // sets a cookie with the user's info
    req.session.user = user;
    // 這里貌似有誤，只是set了session，返回這個(gè)sessionid，但但數(shù)據(jù)并不會(huì)set到這個(gè)cookie里頭
    
    res.redirect('/dashboard');
   } else {
    res.render('login.jade', { error: 'Invalid email or password.' });
   }
  }
 });
});

六 Session層中間件

我們當(dāng)然不希望每個(gè)請(qǐng)求都加上這一段，所以我們使用express來(lái)做全局配置

app.use(function(req, res, next) {
 if (req.session && req.session.user) {
  User.findOne({ email: req.session.user.email }, function(err, user) {
   if (user) {
    req.user = user;
    delete req.user.password; // delete the password from the session
    req.session.user = user; //refresh the session value
    res.locals.user = user;
   }
   // finishing processing the middleware and run the route
   next();
  });
 } else {
  next();
 }
});

如果用戶(hù)邏輯在沒(méi)有登陸時(shí)必須登陸，那我們可以繼續(xù)加一個(gè)路由

function requireLogin (req, res, next) {
 if (!req.user) {
  res.redirect('/login');
 } else {
  next();
 }
};
app.get('/dashboard', requireLogin, function(req, res) {
 res.render('dashboard.jade');
});

七 安全性

1 我們可以在登出時(shí)重置session

app.get('/logout', function(req, res) {
 req.session.reset();
 res.redirect('/');
});

還可以加一些安全性

httpOnly：用來(lái)保證cookie只能通過(guò)http訪問(wèn)，而不能用js來(lái)讀取

secure：強(qiáng)制使用https

ephemeral：關(guān)閉瀏覽器時(shí)同時(shí)關(guān)閉cookie

八 總結(jié)

Cookie和session由于實(shí)現(xiàn)手段不同，因此也各有優(yōu)缺點(diǎn)和各自的應(yīng)用場(chǎng)景：

1. 應(yīng)用場(chǎng)景

Cookie的典型應(yīng)用場(chǎng)景是Remember Me服務(wù)，即用戶(hù)的賬戶(hù)信息通過(guò)cookie的形式保存在客戶(hù)端，當(dāng)用戶(hù)再次請(qǐng)求匹配的URL的時(shí)候，賬戶(hù)信息會(huì)被傳送到服務(wù)端，交由相應(yīng)的程序完成自動(dòng)登錄等功能。當(dāng)然也可以保存一些客戶(hù)端信息，比如頁(yè)面布局以及搜索歷史等等。
Session的典型應(yīng)用場(chǎng)景是用戶(hù)登錄某網(wǎng)站之后，將其登錄信息放入session，在以后的每次請(qǐng)求中查詢(xún)相應(yīng)的登錄信息以確保該用戶(hù)合法。當(dāng)然還是有購(gòu)物車(chē)等等經(jīng)典場(chǎng)景；

1. 安全性

cookie將信息保存在客戶(hù)端，如果不進(jìn)行加密的話，無(wú)疑會(huì)暴露一些隱私信息，安全性很差，一般情況下敏感信息是經(jīng)過(guò)加密后存儲(chǔ)在cookie中，但很容易就會(huì)被竊取。而session只會(huì)將信息存儲(chǔ)在服務(wù)端，如果存儲(chǔ)在文件或數(shù)據(jù)庫(kù)中，也有被竊取的可能，只是可能性比cookie小了太多。

Session安全性方面比較突出的是存在會(huì)話劫持的問(wèn)題，這是一種安全威脅，這在下文會(huì)進(jìn)行更詳細(xì)的說(shuō)明?？傮w來(lái)講，session的安全性要高于cookie；

1. 性能

Cookie存儲(chǔ)在客戶(hù)端，消耗的是客戶(hù)端的I/O和內(nèi)存，而session存儲(chǔ)在服務(wù)端，消耗的是服務(wù)端的資源。但是session對(duì)服務(wù)器造成的壓力比較集中，而cookie很好地分散了資源消耗，就這點(diǎn)來(lái)說(shuō)，cookie是要優(yōu)于session的；

1. 時(shí)效性

Cookie可以通過(guò)設(shè)置有效期使其較長(zhǎng)時(shí)間內(nèi)存在于客戶(hù)端，而session一般只有比較短的有效期（用戶(hù)主動(dòng)銷(xiāo)毀session或關(guān)閉瀏覽器后引發(fā)超時(shí)）；

1. 其他

Cookie的處理在開(kāi)發(fā)中沒(méi)有session方便。而且cookie在客戶(hù)端是有數(shù)量和大小的限制的，而session的大小卻只以硬件為限制，能存儲(chǔ)的數(shù)據(jù)無(wú)疑大了太多。

繼續(xù)補(bǔ)充下，關(guān)于如何做一個(gè)完整的登陸

1 用戶(hù)端

一般來(lái)說(shuō)應(yīng)該使用https，而且密碼絕不能在網(wǎng)絡(luò)中明文傳輸，因此在往服務(wù)器傳輸時(shí)就應(yīng)該先加密，常見(jiàn)的md5，但md5被破解，因此可以用SHA512來(lái)加密 SHA256(password)

2 服務(wù)端

服務(wù)端需要對(duì)密碼再進(jìn)行加密，因?yàn)樗锌蛻?hù)端的東西都是不安全的，萬(wàn)一你的網(wǎng)絡(luò)被監(jiān)聽(tīng)了呢，因此會(huì)進(jìn)行 SHA512(username+SHA512(password)+sault)的加密，這里的sault為隨機(jī)數(shù)，防止被脫庫(kù)了后被猜出密碼，所以需要附加一個(gè)隨機(jī)數(shù)，這個(gè)sault最好是存放到另外的數(shù)據(jù)庫(kù)中，防止因?yàn)榇娴揭粋€(gè)庫(kù)中被脫庫(kù)中猜出

總結(jié)

以上所述是小編給大家介紹的Nodejs 和Session 原理及實(shí)戰(zhàn)技巧小結(jié)，希望對(duì)大家有所幫助，如果大家有任何疑問(wèn)請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！

最新評(píng)論