Node.js编程中客户端Session的使用详解


Posted in Javascript onJune 23, 2015

 静态网站很容易扩展。你只需要全部缓存,不需要考虑从不同服务器组合有状态的内容给用户。

可惜,大多数Web应用使用有状态的内容提供个性化体验。如果你的应用可以登录,就需要记住用户的Session。经典的处理方法是客户端设置包含随机唯一Session标识的Cookie,被标识的Session数据保存到服务端。

扩展有状态服务

当扩展服务的时候,你肯定有三种选择:

  1.     不同服务端同步Session数据
  2.     不同服务端连接单点中心(获取Session)
  3.     保证用户访问同一个服务端

但都有缺陷:

  •     同步数据增加性能开销
  •     单点中心降低系统扩展性
  •     如果用户上次访问的服务端需要维护怎么办

然而,如果你换个角度思考,会发现第四种选择:将Session数据保存在客户端

客户端Session

在客户端保存Session有一些优势:

  •     无所谓哪个服务端,Session数据都有效
  •     不需要维护服务端状态
  •     不需要服务端同步
  •     任意添加新的服务端

但是客户端Session存在一个严重问题:你不能保证用户不篡改Session数据。

比如你在Cookie中保存用户的ID。用户很容易修改它,从而访问别人的账户。

这似乎否定了客户端Session的可能,但有一种方法可以巧妙解决这问题:加密打包Session数据(还是存在Cookie中)。这样就不需要担心用户修改Session数据,服务端会验证数据的。

实际应用上,就是Cookie中保存一个加密的Server Key。Server Key验证后才有权利读取和修改Session数据。这就是客户端Session。

Node客户端Session

Node.JS有一个库可以实现客户端Session:node-client-session.它可以代替Connect(一个Node中间件框架)内置的session和cookieParser中间件。

在Express框架应用中的使用:
 

const clientSessions = require("client-sessions");
app.use(clientSessions({ secret: '0GBlJZ9EKBt2Zbi2flRPvztczCewBxXK' // 设置一个随机长字符串! })

然后,向req.session对象添加属性:
 

app.get('/login', function (req, res){ req.session.username = 'JohnDoe'; });

读取属性:
 

app.get('/', function (req, res){ res.send('Welcome ' + req.session.username); });

使用reset方法终止Session:
 

app.get('/logout', function (req, res) { req.session.reset(); });

即时注销Persona Session

(注:Persona是Mozzilla推出的网络身份系统)

与服务器端Session不同,客户端Session的问题是服务端无法删除Session。

服务器端架构时,你可以删除Session数据。任意的客户端Cookie标识的Session很可能不存在。但客户端架构时,Session数据不在服务端,不能保证Session数据在每个客户端都被删除。换句话说,我们无法同步用户的客户端状态(已经登录)和服务端状态(注销登录)。
 

为了弥补这个缺陷,客户端Session中添加了过期时间。展开Session数据(被加密打包)前验证过期时间。如果过期了,抛弃Session数据并改变用户状态(如注销登录)。

过期机制在很多应用中运行良好(尤其是短过期时间需求)。如在Persona中,当用户发觉密码收到威胁或已经损坏时,我们需要提供方法让用户立即注销Session数据。

这意味着需要保留一点点状态信息在服务后端。我们处理即时注销的方法是添加一个Token在用户数据表和Session数据中。

每次API调用时比对Session数据中的Token和数据库中的Token。如果不相同,返回错误信息并退出用户。

这样会附加多余的数据库操作去查询Token。幸好,大多数的API调用都需要读取用户数据表,把Token一起带上就好了。

Javascript 相关文章推荐
10个基于浏览器的JavaScript调试工具分享
Feb 07 Javascript
js函数中onmousedown和onclick的区别和联系探讨
May 19 Javascript
去掉gridPanel表头全选框的小例子
Jul 18 Javascript
js检测浏览器版本、核心、是否移动端示例
Apr 24 Javascript
node.js中的path.normalize方法使用说明
Dec 08 Javascript
jQuery入门之层次选择器实例简析
Dec 11 Javascript
Web开发必知Javascript技巧大全
Feb 23 Javascript
前端js中的事件循环eventloop机制详解
May 15 Javascript
jQuery HTML获取内容和属性操作实例分析
May 20 jQuery
VSCode插件安装完成后的配置(常用配置)
Aug 24 Javascript
微信小程序向Java后台传输参数的方法实现
Dec 10 Javascript
vue+springboot实现登录验证码
May 27 Vue.js
使用Meteor配合Node.js编写实时聊天应用的范例
Jun 23 #Javascript
使用Node.js为其他程序编写扩展的基本方法
Jun 23 #Javascript
Windows系统下Node.js的简单入门教程
Jun 23 #Javascript
jQuery实现判断滚动条到底部
Jun 23 #Javascript
jQuery实现新消息在网页标题闪烁提示
Jun 23 #Javascript
使用Raygun对Node.js应用进行错误处理的方法
Jun 23 #Javascript
javascript创建函数的20种方式汇总
Jun 23 #Javascript
You might like
thinkphp实现分页显示功能
2016/12/03 PHP
一个加密JavaScript的开源工具PACKER2.0.2
2006/11/04 Javascript
认识延迟时间为0的setTimeout
2008/05/16 Javascript
Prototype源码浅析 String部分(四)之补充
2012/01/16 Javascript
模拟用户点击弹出新页面不会被浏览器拦截
2014/04/08 Javascript
IE8中动态创建script标签onload无效的解决方法
2014/12/22 Javascript
javascript实现tab切换的四种方法
2015/11/05 Javascript
有关jQuery中parent()和siblings()的小问题
2016/06/01 Javascript
jQuery图片加载显示loading效果
2016/11/04 Javascript
Bootstrap3 datetimepicker控件使用实例
2016/12/13 Javascript
jQuery监听浏览器窗口大小的变化实例
2017/02/07 Javascript
bootstrap table表格插件使用详解
2017/05/08 Javascript
JavaScript数组去重的几种方法
2019/04/07 Javascript
vue组件创建的三种方式小结
2020/02/03 Javascript
Chrome插件开发系列一:弹窗终结者开发实战
2020/10/02 Javascript
node中短信api实现验证码登录的示例代码
2021/01/20 Javascript
python利用requests库模拟post请求时json的使用教程
2018/12/07 Python
Python中整数的缓存机制讲解
2019/02/16 Python
django 自定义filter 判断if var in list的例子
2019/08/20 Python
python使用matplotlib绘制雷达图
2019/10/18 Python
python基于plotly实现画饼状图代码实例
2019/12/16 Python
win10下python2和python3共存问题解决方法
2019/12/23 Python
pytorch查看torch.Tensor和model是否在CUDA上的实例
2020/01/03 Python
给 TensorFlow 变量进行赋值的方式
2020/02/10 Python
Pytest参数化parametrize使用代码实例
2020/02/22 Python
Python新手学习标准库模块命名
2020/05/29 Python
python爬虫筛选工作实例讲解
2020/11/23 Python
python录音并调用百度语音识别接口的示例
2020/12/01 Python
汽车机修工岗位职责
2014/03/06 职场文书
中餐厅经理岗位职责
2014/04/11 职场文书
单位消防安全责任书
2014/07/23 职场文书
应届本科毕业生求职信
2014/07/23 职场文书
民事答辩状范本
2015/05/21 职场文书
2016学雷锋优秀志愿者事迹材料
2016/02/25 职场文书
golang通过递归遍历生成树状结构的操作
2021/04/28 Golang
Navicat连接MySQL错误描述分析
2021/06/02 MySQL