express如何使用session与cookie的方法


Posted in Javascript onJanuary 30, 2018

无状态的http

我们都知道http的请求和响应式相互独立的,服务器无法识别两条http请求是否是同一个用户发送的。也就是说服务器端并没有记录通信状态的能力。我们通常使用cookie和session来确定会话双方的身份。

cookie

cookie 是从服务器端发送的,服务器给不同的用户发送不同的标识,这个标识表示用户的身份,服务器通过客户端发送的这个标识来识别用户的身份,从而查询服务器中的该用户的相关数据,然后发送到该用户。

安装express提供的cookie-parser中间件:

npm i -S cookie-parser

在我们使用的项目页面模块中引入 cookie-parser 插件,然后实例化它,如下:

var cookieParser = require('cookie-parser');
var cp = cookieParser(secret, options);

它有两个参数,第一个参数secret,用它可以对cookie进行签名,也就是我们常说的cookie加密。它可以是字符串也可以是数组,如果熟悉加密原理的同学应该知道,这个字符串就是服务器所拥有的密文,第二个参数options包含如下可选参数:

  1. path:指定 cookie 影响到的路径
  2. expires: 指定时间格式
  3. maxAge:指定 cookie 什么时候过期
  4. secure:当 secure 值为 true 时,在 HTTPS 中才有效;反之,cookie 在 HTTP 中是有效。
  5. httpOnly:浏览器不允许脚本操作 document.cookie 去更改 cookie。设置为true可以避免被 xss 攻击拿到 cookie

参考cookie-parser中的例子,实现一个记住访问路径的demo,代码如下:

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();

// 使用 cookieParser 中间件;
app.use(cookieParser());

// 如果请求中的 cookie 存在 isFirst
// 否则,设置 cookie 字段 isFirst, 并设置过期时间为10秒
app.get('/', function(req, res) {
  if (req.cookies.isFirst) {
    res.send("再次欢迎访问");
    console.log(req.cookies)
  } else {
    res.cookie('isFirst', 1, { maxAge: 60 * 1000});
    res.send("欢迎第一次访问");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

cookie-parser 还可以对Cookie数据进行加密,也就是我们所说的signedCookies。

signedCookies

实现代码如下:

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();

// 使用 cookieParser 中间件;
app.use(cookieParser('my_cookie_secret'));

// cookie
app.get('/', function(req, res) {
  if (req.signedCookies.isFirst) {
    res.send("欢迎再一次访问");
    console.log(req.signedCookies)
  } else {
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, signed: true});
    res.send("欢迎第一次访问");
  }
});

从上面的代码中我们知道cooke-parser的第一个参数可以指定服务器端的提供的加密密匙,然后我们使用options中的signed配置项可实现加密。虽然这样相对安全,但是客户端的Cookie有局限性,在客户端发送请求时会增加请求头部的数据量,导致请求速度变慢;另外它不能实现数据的共享。

session

express-session 是expressjs的一个中间件用来创建session。服务器端生成了一个sessionn-id,客户端使用了cookie保存了session-id这个加密的请求信息,而将用户请求的数据保存在服务器端,但是它也可以实现将用户的数据加密后保存在客户端。

session记录的是客户端与服务端之间的会话状态,该状态用来确定客户端的身份。

express-session支持session存放位置

可以存放在cookie中,也可以存放在内存中,或者是redis、mongodb等第三方服务器中。

session默认存放在内存中,存放在cookie中安全性太低,存放在非redis数据库中查询速度太慢,一般项目开发中都是存放在redis中(缓存数据库)。

在express提供的express-session中间件安装命令:

npm i -S express-session

在我们使用的项目页面模块中引入 express-session 插件,然后实例化它,如下:

var session = require('express-session');
var se = session(options);

session()的参数options配置项主要有:

  1. name: 设置cookie中,保存session的字段名称,默认为connect.sid
  2. store: session的存储方式,默认为存放在内存中,我们可以自定义redis等
  3. genid: 生成一个新的session_id时,默认为使用uid2这个npm包
  4. rolling: 每个请求都重新设置一个cookie,默认为false
  5. resave: 即使session没有被修改,也保存session值,默认为true
  6. saveUninitialized:强制未初始化的session保存到数据库
  7. secret: 通过设置的secret字符串,来计算hash值并放在cookie中,使产生的signedCookie防篡改
  8. cookie : 设置存放sessionid的cookie的相关选项

那么,使用它我们都能做些什么呢?下面我们将一一介绍。

cookie session

cookie session 使用很简单就是我们在配置项中使用cookie配置项,就可以将session数据保存在cookie中,它和signedCookies类似都是将数据保存在客户端,而且都对数据进行了加密,但是加密后的请求得到的数据结构不一样。

cooke session 的结构如下:

Session {
 cookie:
  { path: '/',
   _expires: 2018-01-29T17:58:49.950Z,
   originalMaxAge: 60000,
   httpOnly: true },
 isFirst: 1 }

signedCookie 结构如下:

{ isFirst: '1' }

实现cookie session代码如下:

var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// session
app.use(session({
  name: 'session-name', // 这里是cookie的name,默认是connect.sid
  secret: 'my_session_secret', // 建议使用 128 个字符的随机字符串
  resave: true,
  saveUninitialized: false,
  cookie: { maxAge: 60 * 1000, httpOnly: true }
}));

// route
app.get('/', function(req, res, next) {
  if(req.session.isFirst || req.cookies.isFirst) {
    res.send("欢迎再一次访问");
  } else {
    req.session.isFirst = 1;
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
    res.send("欢迎第一次访问。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

signed-cookie vs cookie session

  1. signedCookies 信息可见但不可修改,cookie session不可见也不可修改
  2. signedCookies 信息长期保存客户端,后者客户端关闭,信息消失

针对Cooke session增加了客户端请求的数据规模,我们一般这样使用,数据库存储session。

数据库保存session

用数据库保存session,我们一般使用redis,因为它是缓存数据库,查询速度相较于非缓存的速度更快。

express-session 的实例代码如下:

var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// session
app.use(session({
  name: 'session-name', // 这里是cookie的name,默认是connect.sid
  secret: 'my_session_secret', // 建议使用 128 个字符的随机字符串
  resave: true,
  saveUninitialized: false,
  store: new redisStore({
    host: '127.0.0.1',
    port: '6379',
    db: 0,
    pass: '',
  })
}));

// route
app.get('/', function(req, res) {
  if (req.session.isFirst) {
    res.send("欢迎再一次访问。");
    console.log(req.session)
  } else {
    req.session.isFirst = 1;
    res.send("欢迎第一次访问。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

但有时我们也使用非redis数据库保存session,这时我们就需要对项目结构有深刻的认识和理解;否则,使用后反而会适得其反。

另外,我们要注意使用数据库保存session数据,在浏览器端的session-id会随着浏览器的关闭而消失,下次打开浏览器发送请求时,服务器依然不能识别请求者的身份。

cookie session 虽然能解决这个问题,但是它本身存在着安全风险,其实cookie session 和 signedCookies都面临xss攻击。

其实,使用signedCookies和session的结合会在一定程度上降低这样的风险。

signedCookies(cookies) 和 session的结合

在开发中,我们往往需要signedCookies的长期保存特性,又需要session的不可见不可修改的特性。

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// 使用 cookieParser 中间件;
app.use(cookieParser());

// session
app.use(session({
  name: 'session-name', // 这里是cookie的name,默认是connect.sid
  secret: 'my_session_secret', // 建议使用 128 个字符的随机字符串
  resave: true,
  saveUninitialized: false,
  // cookie: { maxAge: 60 * 1000, httpOnly: true },
  store: new redisStore({
    host: '127.0.0.1',
    port: '6379',
    db: 0,
    pass: '',
  })
}));

app.get('/', function(req, res, next) {
  if(req.session.isFirst || req.cookies.isFirst) {
    res.send("欢迎再一次访问");
  } else {
    req.session.isFirst = 1;
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
    res.send("欢迎第一次访问。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

这样我们将session保存在redis中的信息,保存在了session_id所标示的客户端cooke中一份,这样我们就不用担心,浏览器关闭,cookie中的session_id字段就会消失的情况,因为浏览器中还有它的备份cookie,如果没有备份的cookie信息,下次客户端再次发出请求浏览就无法确定用户的身份。

参考源码

nodejs 快速上手

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Javascript 相关文章推荐
JavaScript中URL编码函数代码
Jan 11 Javascript
JS小功能(onmouseover实现选择月份)实例代码
Nov 28 Javascript
javascript简单性能问题及学习笔记
Feb 04 Javascript
中止javascript执行的方法
Feb 14 Javascript
jquery基础教程之数组使用详解
Mar 10 Javascript
JavaScript入门基础
Aug 12 Javascript
分享JavaScript与Java中MD5使用两个例子
Dec 23 Javascript
jQuery使用ajax跨域获取数据的简单实例
May 18 Javascript
AngularJS实现使用路由切换视图的方法
Jan 24 Javascript
vue引入js数字小键盘的实现代码
May 14 Javascript
vue增加强缓存和版本号的实现方法
May 01 Javascript
JavaScript实现表单验证功能
Dec 09 Javascript
JavaScript实现的贝塞尔曲线算法简单示例
Jan 30 #Javascript
详解刷新页面vuex数据不消失和不跳转页面的解决
Jan 30 #Javascript
AngularJS双向数据绑定原理之$watch、$apply和$digest的应用
Jan 30 #Javascript
微信小程序数据存储与取值详解
Jan 30 #Javascript
Vue精简版风格概述
Jan 30 #Javascript
vue自定义全局组件(自定义插件)的用法
Jan 30 #Javascript
vue2.0之多页面的开发的示例
Jan 30 #Javascript
You might like
php+mysql写的简单留言本实例代码
2008/07/25 PHP
解析PHP中VC6 X86和VC9 X86的区别及 Non Thread Safe的意思
2013/06/28 PHP
php使用filter过滤器验证邮箱 ipv6地址 url验证
2013/12/25 PHP
使用PHP导出Redis数据到另一个Redis中的代码
2014/03/12 PHP
PHP单例模式模拟Java Bean实现方法示例
2018/12/07 PHP
php的单例模式及应用场景详解
2021/02/27 PHP
jQuery数组处理方法汇总
2011/06/20 Javascript
jQuery 插件开发指南
2014/11/14 Javascript
JavaScript观察者模式(经典)
2015/12/09 Javascript
javascript实现的左右无缝滚动效果
2016/09/19 Javascript
javascript中的try catch异常捕获机制用法分析
2016/12/14 Javascript
Angularjs中的ui-bootstrap的使用教程
2017/02/19 Javascript
详解使用JS如何制作简单的ASCII图与单极图
2017/03/31 Javascript
微信小程序登录态控制深入分析
2017/04/12 Javascript
js绑定事件和解绑事件
2017/04/27 Javascript
微信小程序 动画的简单实例
2017/10/12 Javascript
Vue 创建组件的两种方法小结(必看)
2018/02/23 Javascript
解决element ui select下拉框不回显数据问题的解决
2019/02/20 Javascript
如何从零开始手写Koa2框架
2019/03/22 Javascript
jQuery表单校验插件validator使用方法详解
2020/02/18 jQuery
js、jquery实现列表模糊搜索功能过程解析
2020/03/27 jQuery
Vue3新特性之在Composition API中使用CSS Modules
2020/07/13 Javascript
在Vue中使用Viser说明(基于AntV-G2可视化引擎)
2020/10/28 Javascript
Python文件操作类操作实例详解
2014/07/11 Python
Python删除windows垃圾文件的方法
2015/07/14 Python
更新pip3与pyttsx3文字语音转换的实现方法
2019/08/08 Python
python PyQt5/Pyside2 按钮右击菜单实例代码
2019/08/17 Python
python自动生成证件号的方法示例
2021/01/14 Python
css3让div随鼠标移动而抖动起来
2014/02/10 HTML / CSS
HTML5拖拽功能实现的拼图游戏
2018/07/31 HTML / CSS
亲子活动总结
2014/04/26 职场文书
大学生万能检讨书范例
2014/10/04 职场文书
公务员个人考察材料
2014/12/23 职场文书
大学生暑期实践报告
2015/07/13 职场文书
Redis延迟队列和分布式延迟队列的简答实现
2021/05/13 Redis
python process模块的使用简介
2021/05/14 Python