欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

express如何使用session與cookie的方法

 更新時(shí)間:2018年01月30日 13:45:26   作者:緣自世界  
本篇文章主要介紹了express如何使用session與cookie的方法,小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧

無狀態(tài)的http

我們都知道http的請求和響應(yīng)式相互獨(dú)立的,服務(wù)器無法識別兩條http請求是否是同一個(gè)用戶發(fā)送的。也就是說服務(wù)器端并沒有記錄通信狀態(tài)的能力。我們通常使用cookie和session來確定會話雙方的身份。

cookie

cookie 是從服務(wù)器端發(fā)送的,服務(wù)器給不同的用戶發(fā)送不同的標(biāo)識,這個(gè)標(biāo)識表示用戶的身份,服務(wù)器通過客戶端發(fā)送的這個(gè)標(biāo)識來識別用戶的身份,從而查詢服務(wù)器中的該用戶的相關(guān)數(shù)據(jù),然后發(fā)送到該用戶。

安裝express提供的cookie-parser中間件:

npm i -S cookie-parser

在我們使用的項(xiàng)目頁面模塊中引入 cookie-parser 插件,然后實(shí)例化它,如下:

var cookieParser = require('cookie-parser');
var cp = cookieParser(secret, options);

它有兩個(gè)參數(shù),第一個(gè)參數(shù)secret,用它可以對cookie進(jìn)行簽名,也就是我們常說的cookie加密。它可以是字符串也可以是數(shù)組,如果熟悉加密原理的同學(xué)應(yīng)該知道,這個(gè)字符串就是服務(wù)器所擁有的密文,第二個(gè)參數(shù)options包含如下可選參數(shù):

  1. path:指定 cookie 影響到的路徑
  2. expires: 指定時(shí)間格式
  3. maxAge:指定 cookie 什么時(shí)候過期
  4. secure:當(dāng) secure 值為 true 時(shí),在 HTTPS 中才有效;反之,cookie 在 HTTP 中是有效。
  5. httpOnly:瀏覽器不允許腳本操作 document.cookie 去更改 cookie。設(shè)置為true可以避免被 xss 攻擊拿到 cookie

參考cookie-parser中的例子,實(shí)現(xiàn)一個(gè)記住訪問路徑的demo,代碼如下:

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();

// 使用 cookieParser 中間件;
app.use(cookieParser());

// 如果請求中的 cookie 存在 isFirst
// 否則,設(shè)置 cookie 字段 isFirst, 并設(shè)置過期時(shí)間為10秒
app.get('/', function(req, res) {
  if (req.cookies.isFirst) {
    res.send("再次歡迎訪問");
    console.log(req.cookies)
  } else {
    res.cookie('isFirst', 1, { maxAge: 60 * 1000});
    res.send("歡迎第一次訪問");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

cookie-parser 還可以對Cookie數(shù)據(jù)進(jìn)行加密,也就是我們所說的signedCookies。

signedCookies

實(shí)現(xiàn)代碼如下:

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();

// 使用 cookieParser 中間件;
app.use(cookieParser('my_cookie_secret'));

// cookie
app.get('/', function(req, res) {
  if (req.signedCookies.isFirst) {
    res.send("歡迎再一次訪問");
    console.log(req.signedCookies)
  } else {
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, signed: true});
    res.send("歡迎第一次訪問");
  }
});

從上面的代碼中我們知道cooke-parser的第一個(gè)參數(shù)可以指定服務(wù)器端的提供的加密密匙,然后我們使用options中的signed配置項(xiàng)可實(shí)現(xiàn)加密。雖然這樣相對安全,但是客戶端的Cookie有局限性,在客戶端發(fā)送請求時(shí)會增加請求頭部的數(shù)據(jù)量,導(dǎo)致請求速度變慢;另外它不能實(shí)現(xiàn)數(shù)據(jù)的共享。

session

express-session 是expressjs的一個(gè)中間件用來創(chuàng)建session。服務(wù)器端生成了一個(gè)sessionn-id,客戶端使用了cookie保存了session-id這個(gè)加密的請求信息,而將用戶請求的數(shù)據(jù)保存在服務(wù)器端,但是它也可以實(shí)現(xiàn)將用戶的數(shù)據(jù)加密后保存在客戶端。

session記錄的是客戶端與服務(wù)端之間的會話狀態(tài),該狀態(tài)用來確定客戶端的身份。

express-session支持session存放位置

可以存放在cookie中,也可以存放在內(nèi)存中,或者是redis、mongodb等第三方服務(wù)器中。

session默認(rèn)存放在內(nèi)存中,存放在cookie中安全性太低,存放在非redis數(shù)據(jù)庫中查詢速度太慢,一般項(xiàng)目開發(fā)中都是存放在redis中(緩存數(shù)據(jù)庫)。

在express提供的express-session中間件安裝命令:

npm i -S express-session

在我們使用的項(xiàng)目頁面模塊中引入 express-session 插件,然后實(shí)例化它,如下:

var session = require('express-session');
var se = session(options);

session()的參數(shù)options配置項(xiàng)主要有:

  1. name: 設(shè)置cookie中,保存session的字段名稱,默認(rèn)為connect.sid
  2. store: session的存儲方式,默認(rèn)為存放在內(nèi)存中,我們可以自定義redis等
  3. genid: 生成一個(gè)新的session_id時(shí),默認(rèn)為使用uid2這個(gè)npm包
  4. rolling: 每個(gè)請求都重新設(shè)置一個(gè)cookie,默認(rèn)為false
  5. resave: 即使session沒有被修改,也保存session值,默認(rèn)為true
  6. saveUninitialized:強(qiáng)制未初始化的session保存到數(shù)據(jù)庫
  7. secret: 通過設(shè)置的secret字符串,來計(jì)算hash值并放在cookie中,使產(chǎn)生的signedCookie防篡改
  8. cookie : 設(shè)置存放sessionid的cookie的相關(guān)選項(xiàng)

那么,使用它我們都能做些什么呢?下面我們將一一介紹。

cookie session

cookie session 使用很簡單就是我們在配置項(xiàng)中使用cookie配置項(xiàng),就可以將session數(shù)據(jù)保存在cookie中,它和signedCookies類似都是將數(shù)據(jù)保存在客戶端,而且都對數(shù)據(jù)進(jìn)行了加密,但是加密后的請求得到的數(shù)據(jù)結(jié)構(gòu)不一樣。

cooke session 的結(jié)構(gòu)如下:

Session {
 cookie:
  { path: '/',
   _expires: 2018-01-29T17:58:49.950Z,
   originalMaxAge: 60000,
   httpOnly: true },
 isFirst: 1 }

signedCookie 結(jié)構(gòu)如下:

{ isFirst: '1' }

實(shí)現(xiàn)cookie session代碼如下:

var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// session
app.use(session({
  name: 'session-name', // 這里是cookie的name,默認(rèn)是connect.sid
  secret: 'my_session_secret', // 建議使用 128 個(gè)字符的隨機(jī)字符串
  resave: true,
  saveUninitialized: false,
  cookie: { maxAge: 60 * 1000, httpOnly: true }
}));

// route
app.get('/', function(req, res, next) {
  if(req.session.isFirst || req.cookies.isFirst) {
    res.send("歡迎再一次訪問");
  } else {
    req.session.isFirst = 1;
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
    res.send("歡迎第一次訪問。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

signed-cookie vs cookie session

  1. signedCookies 信息可見但不可修改,cookie session不可見也不可修改
  2. signedCookies 信息長期保存客戶端,后者客戶端關(guān)閉,信息消失

針對Cooke session增加了客戶端請求的數(shù)據(jù)規(guī)模,我們一般這樣使用,數(shù)據(jù)庫存儲session。

數(shù)據(jù)庫保存session

用數(shù)據(jù)庫保存session,我們一般使用redis,因?yàn)樗蔷彺鏀?shù)據(jù)庫,查詢速度相較于非緩存的速度更快。

express-session 的實(shí)例代碼如下:

var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// session
app.use(session({
  name: 'session-name', // 這里是cookie的name,默認(rèn)是connect.sid
  secret: 'my_session_secret', // 建議使用 128 個(gè)字符的隨機(jī)字符串
  resave: true,
  saveUninitialized: false,
  store: new redisStore({
    host: '127.0.0.1',
    port: '6379',
    db: 0,
    pass: '',
  })
}));

// route
app.get('/', function(req, res) {
  if (req.session.isFirst) {
    res.send("歡迎再一次訪問。");
    console.log(req.session)
  } else {
    req.session.isFirst = 1;
    res.send("歡迎第一次訪問。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

但有時(shí)我們也使用非redis數(shù)據(jù)庫保存session,這時(shí)我們就需要對項(xiàng)目結(jié)構(gòu)有深刻的認(rèn)識和理解;否則,使用后反而會適得其反。

另外,我們要注意使用數(shù)據(jù)庫保存session數(shù)據(jù),在瀏覽器端的session-id會隨著瀏覽器的關(guān)閉而消失,下次打開瀏覽器發(fā)送請求時(shí),服務(wù)器依然不能識別請求者的身份。

cookie session 雖然能解決這個(gè)問題,但是它本身存在著安全風(fēng)險(xiǎn),其實(shí)cookie session 和 signedCookies都面臨xss攻擊。

其實(shí),使用signedCookies和session的結(jié)合會在一定程度上降低這樣的風(fēng)險(xiǎn)。

signedCookies(cookies) 和 session的結(jié)合

在開發(fā)中,我們往往需要signedCookies的長期保存特性,又需要session的不可見不可修改的特性。

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// 使用 cookieParser 中間件;
app.use(cookieParser());

// session
app.use(session({
  name: 'session-name', // 這里是cookie的name,默認(rèn)是connect.sid
  secret: 'my_session_secret', // 建議使用 128 個(gè)字符的隨機(jī)字符串
  resave: true,
  saveUninitialized: false,
  // cookie: { maxAge: 60 * 1000, httpOnly: true },
  store: new redisStore({
    host: '127.0.0.1',
    port: '6379',
    db: 0,
    pass: '',
  })
}));

app.get('/', function(req, res, next) {
  if(req.session.isFirst || req.cookies.isFirst) {
    res.send("歡迎再一次訪問");
  } else {
    req.session.isFirst = 1;
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
    res.send("歡迎第一次訪問。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

這樣我們將session保存在redis中的信息,保存在了session_id所標(biāo)示的客戶端cooke中一份,這樣我們就不用擔(dān)心,瀏覽器關(guān)閉,cookie中的session_id字段就會消失的情況,因?yàn)闉g覽器中還有它的備份cookie,如果沒有備份的cookie信息,下次客戶端再次發(fā)出請求瀏覽就無法確定用戶的身份。

參考源碼

nodejs 快速上手

以上就是本文的全部內(nèi)容,希望對大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

相關(guān)文章

  • 使用node.js實(shí)現(xiàn)微信小程序?qū)崟r(shí)聊天功能

    使用node.js實(shí)現(xiàn)微信小程序?qū)崟r(shí)聊天功能

    在微信這個(gè)聊天工具里的小程序上實(shí)現(xiàn)聊天功能,總覺得很詫異,今天小編給大家?guī)砹耸褂胣ode.js實(shí)現(xiàn)微信小程序?qū)崟r(shí)聊天功能,感興趣的朋友一起看看吧
    2018-08-08
  • 我的Node.js學(xué)習(xí)之路(二)NPM模塊管理

    我的Node.js學(xué)習(xí)之路(二)NPM模塊管理

    npm 是 Node.js 的模塊依賴管理工具。作為開發(fā)者使用的工具,主要解決開發(fā) Node.js 時(shí)會遇到的問題。如同 RubyGems 對于 Ruby 開發(fā)者和 Maven 對于 Java 開發(fā)者的重要性,npm 對與 Node.js 的開發(fā)者和社區(qū)的重要性不言而喻。
    2014-07-07
  • nodejs語言實(shí)現(xiàn)驗(yàn)證碼生成功能的示例代碼

    nodejs語言實(shí)現(xiàn)驗(yàn)證碼生成功能的示例代碼

    這篇文章主要介紹了nodejs語言實(shí)現(xiàn)驗(yàn)證碼生成功能的示例代碼,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-10-10
  • npm 常用命令詳解(小結(jié))

    npm 常用命令詳解(小結(jié))

    這篇文章主要介紹了npm 常用命令詳解(小結(jié)),小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧
    2019-01-01
  • 詳解axios在node.js中的post使用

    詳解axios在node.js中的post使用

    最近因?yàn)楣ぷ鞯脑蛟趯W(xué)習(xí)使用網(wǎng)絡(luò)請求庫,因?yàn)檫@個(gè)項(xiàng)目用的是Promise,所以就選擇了axios,下面這篇文章主要給大家介紹了關(guān)于axios在node.js中的post使用的相關(guān)資料,文中介紹的非常詳細(xì),需要的朋友可以參考借鑒,下面來一起學(xué)習(xí)學(xué)習(xí)吧。
    2017-04-04
  • NodeJS模塊Buffer原理及使用方法解析

    NodeJS模塊Buffer原理及使用方法解析

    這篇文章主要介紹了NodeJS模塊Buffer原理及使用方法解析,文中通過示例代碼介紹的非常詳細(xì),對大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下
    2020-11-11
  • Node.js事件循環(huán)(Event Loop)和線程池詳解

    Node.js事件循環(huán)(Event Loop)和線程池詳解

    這篇文章主要介紹了Node.js事件循環(huán)(Event Loop)和線程池詳解,這篇文章比較淺顯地探討了有關(guān)事件循環(huán)的內(nèi)部運(yùn)作機(jī)制和技術(shù)細(xì)節(jié),都是經(jīng)過深思熟慮的,需要的朋友可以參考下
    2015-01-01
  • node.js 動(dòng)態(tài)執(zhí)行腳本

    node.js 動(dòng)態(tài)執(zhí)行腳本

    其中的Script對象,就與require('vm')返回的對象很相似,而實(shí)質(zhì)上,vm模塊就是對Script對象的封裝。
    2016-06-06
  • Node.js?內(nèi)置模塊fs文件系統(tǒng)操作示例詳解

    Node.js?內(nèi)置模塊fs文件系統(tǒng)操作示例詳解

    這篇文章主要為大家介紹了Node.js?內(nèi)置模塊fs文件系統(tǒng)操作示例詳解,有需要的朋友可以借鑒參考下,希望能夠有所幫助,祝大家多多進(jìn)步,早日升職加薪
    2023-02-02
  • express搭建的nodejs項(xiàng)目使用webpack進(jìn)行壓縮打包

    express搭建的nodejs項(xiàng)目使用webpack進(jìn)行壓縮打包

    對于打包這個(gè)問題它并不是難點(diǎn),但是對于我們這種初學(xué)者來說,根本就不知道應(yīng)該怎么做,下面這篇文章主要給大家介紹了關(guān)于express搭建的nodejs項(xiàng)目使用webpack進(jìn)行壓縮打包的相關(guān)資料,需要的朋友可以參考下
    2022-12-12

最新評論