express如何使用session與cookie的方法

2019-11-19 14:27:19

字體：大中小

供稿：網(wǎng)友

無狀態(tài)的http

我們都知道http的請求和響應(yīng)式相互獨立的，服務(wù)器無法識別兩條http請求是否是同一個用戶發(fā)送的。也就是說服務(wù)器端并沒有記錄通信狀態(tài)的能力。我們通常使用cookie和session來確定會話雙方的身份。

cookie

cookie 是從服務(wù)器端發(fā)送的，服務(wù)器給不同的用戶發(fā)送不同的標(biāo)識，這個標(biāo)識表示用戶的身份，服務(wù)器通過客戶端發(fā)送的這個標(biāo)識來識別用戶的身份，從而查詢服務(wù)器中的該用戶的相關(guān)數(shù)據(jù)，然后發(fā)送到該用戶。

安裝express提供的cookie-parser中間件：

npm i -S cookie-parser

在我們使用的項目頁面模塊中引入 cookie-parser 插件，然后實例化它，如下：

var cookieParser = require('cookie-parser');var cp = cookieParser(secret, options);

它有兩個參數(shù)，第一個參數(shù)secret，用它可以對cookie進(jìn)行簽名，也就是我們常說的cookie加密。它可以是字符串也可以是數(shù)組，如果熟悉加密原理的同學(xué)應(yīng)該知道，這個字符串就是服務(wù)器所擁有的密文，第二個參數(shù)options包含如下可選參數(shù)：

path：指定 cookie 影響到的路徑
expires: 指定時間格式
maxAge：指定 cookie 什么時候過期
secure：當(dāng) secure 值為 true 時，在 HTTPS 中才有效；反之，cookie 在 HTTP 中是有效。
httpOnly：瀏覽器不允許腳本操作 document.cookie 去更改 cookie。設(shè)置為true可以避免被 xss 攻擊拿到 cookie

參考cookie-parser中的例子，實現(xiàn)一個記住訪問路徑的demo，代碼如下：

var path = require('path');var express = require('express');var cookieParser = require('cookie-parser');var app = express();// 使用 cookieParser 中間件;app.use(cookieParser());// 如果請求中的 cookie 存在 isFirst// 否則，設(shè)置 cookie 字段 isFirst, 并設(shè)置過期時間為10秒app.get('/', function(req, res) {  if (req.cookies.isFirst) {    res.send("再次歡迎訪問");    console.log(req.cookies)  } else {    res.cookie('isFirst', 1, { maxAge: 60 * 1000});    res.send("歡迎第一次訪問");  }});app.listen(3030, function() {  console.log('express start on: ' + 3030)});

cookie-parser 還可以對Cookie數(shù)據(jù)進(jìn)行加密，也就是我們所說的signedCookies。

signedCookies

實現(xiàn)代碼如下：

var path = require('path');var express = require('express');var cookieParser = require('cookie-parser');var app = express();// 使用 cookieParser 中間件;app.use(cookieParser('my_cookie_secret'));// cookieapp.get('/', function(req, res) {  if (req.signedCookies.isFirst) {    res.send("歡迎再一次訪問");    console.log(req.signedCookies)  } else {    res.cookie('isFirst', 1, { maxAge: 60 * 1000, signed: true});    res.send("歡迎第一次訪問");  }});

從上面的代碼中我們知道cooke-parser的第一個參數(shù)可以指定服務(wù)器端的提供的加密密匙，然后我們使用options中的signed配置項可實現(xiàn)加密。雖然這樣相對安全，但是客戶端的Cookie有局限性，在客戶端發(fā)送請求時會增加請求頭部的數(shù)據(jù)量，導(dǎo)致請求速度變慢；另外它不能實現(xiàn)數(shù)據(jù)的共享。

session

express-session 是expressjs的一個中間件用來創(chuàng)建session。服務(wù)器端生成了一個sessionn-id，客戶端使用了cookie保存了session-id這個加密的請求信息，而將用戶請求的數(shù)據(jù)保存在服務(wù)器端，但是它也可以實現(xiàn)將用戶的數(shù)據(jù)加密后保存在客戶端。

session記錄的是客戶端與服務(wù)端之間的會話狀態(tài)，該狀態(tài)用來確定客戶端的身份。

express-session支持session存放位置

可以存放在cookie中，也可以存放在內(nèi)存中，或者是redis、mongodb等第三方服務(wù)器中。

session默認(rèn)存放在內(nèi)存中，存放在cookie中安全性太低，存放在非redis數(shù)據(jù)庫中查詢速度太慢，一般項目開發(fā)中都是存放在redis中(緩存數(shù)據(jù)庫)。

在express提供的express-session中間件安裝命令：

npm i -S express-session

在我們使用的項目頁面模塊中引入 express-session 插件，然后實例化它，如下：

var session = require('express-session');var se = session(options);

session()的參數(shù)options配置項主要有：

name: 設(shè)置cookie中，保存session的字段名稱，默認(rèn)為connect.sid
store: session的存儲方式，默認(rèn)為存放在內(nèi)存中，我們可以自定義redis等
genid: 生成一個新的session_id時，默認(rèn)為使用uid2這個npm包
rolling: 每個請求都重新設(shè)置一個cookie，默認(rèn)為false
resave: 即使session沒有被修改，也保存session值，默認(rèn)為true
saveUninitialized：強制未初始化的session保存到數(shù)據(jù)庫
secret: 通過設(shè)置的secret字符串，來計算hash值并放在cookie中，使產(chǎn)生的signedCookie防篡改
cookie : 設(shè)置存放sessionid的cookie的相關(guān)選項

那么，使用它我們都能做些什么呢？下面我們將一一介紹。

cookie session

cookie session 使用很簡單就是我們在配置項中使用cookie配置項,就可以將session數(shù)據(jù)保存在cookie中，它和signedCookies類似都是將數(shù)據(jù)保存在客戶端，而且都對數(shù)據(jù)進(jìn)行了加密，但是加密后的請求得到的數(shù)據(jù)結(jié)構(gòu)不一樣。

cooke session 的結(jié)構(gòu)如下：

Session { cookie:  { path: '/',   _expires: 2018-01-29T17:58:49.950Z,   originalMaxAge: 60000,   httpOnly: true }, isFirst: 1 }

signedCookie 結(jié)構(gòu)如下：

{ isFirst: '1' }

實現(xiàn)cookie session代碼如下：

var path = require('path');var express = require('express');var session = require('express-session');var redisStore = require('connect-redis')(session);var app = express();// sessionapp.use(session({  name: 'session-name', // 這里是cookie的name，默認(rèn)是connect.sid  secret: 'my_session_secret', // 建議使用 128 個字符的隨機字符串  resave: true,  saveUninitialized: false,  cookie: { maxAge: 60 * 1000, httpOnly: true }}));// routeapp.get('/', function(req, res, next) {  if(req.session.isFirst || req.cookies.isFirst) {    res.send("歡迎再一次訪問");  } else {    req.session.isFirst = 1;    res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});    res.send("歡迎第一次訪問。");  }});app.listen(3030, function() {  console.log('express start on: ' + 3030)});

signed-cookie vs cookie session

signedCookies 信息可見但不可修改，cookie session不可見也不可修改
signedCookies 信息長期保存客戶端，后者客戶端關(guān)閉，信息消失

針對Cooke session增加了客戶端請求的數(shù)據(jù)規(guī)模，我們一般這樣使用，數(shù)據(jù)庫存儲session。

數(shù)據(jù)庫保存session

用數(shù)據(jù)庫保存session，我們一般使用redis，因為它是緩存數(shù)據(jù)庫，查詢速度相較于非緩存的速度更快。

express-session 的實例代碼如下：

var path = require('path');var express = require('express');var session = require('express-session');var redisStore = require('connect-redis')(session);var app = express();// sessionapp.use(session({  name: 'session-name', // 這里是cookie的name，默認(rèn)是connect.sid  secret: 'my_session_secret', // 建議使用 128 個字符的隨機字符串  resave: true,  saveUninitialized: false,  store: new redisStore({    host: '127.0.0.1',    port: '6379',    db: 0,    pass: '',  })}));// routeapp.get('/', function(req, res) {  if (req.session.isFirst) {    res.send("歡迎再一次訪問。");    console.log(req.session)  } else {    req.session.isFirst = 1;    res.send("歡迎第一次訪問。");  }});app.listen(3030, function() {  console.log('express start on: ' + 3030)});

但有時我們也使用非redis數(shù)據(jù)庫保存session，這時我們就需要對項目結(jié)構(gòu)有深刻的認(rèn)識和理解；否則，使用后反而會適得其反。

另外，我們要注意使用數(shù)據(jù)庫保存session數(shù)據(jù)，在瀏覽器端的session-id會隨著瀏覽器的關(guān)閉而消失，下次打開瀏覽器發(fā)送請求時，服務(wù)器依然不能識別請求者的身份。

cookie session 雖然能解決這個問題，但是它本身存在著安全風(fēng)險，其實cookie session 和 signedCookies都面臨xss攻擊。

其實，使用signedCookies和session的結(jié)合會在一定程度上降低這樣的風(fēng)險。

signedCookies（cookies）和 session的結(jié)合

在開發(fā)中，我們往往需要signedCookies的長期保存特性，又需要session的不可見不可修改的特性。

var path = require('path');var express = require('express');var cookieParser = require('cookie-parser');var session = require('express-session');var redisStore = require('connect-redis')(session);var app = express();// 使用 cookieParser 中間件;app.use(cookieParser());// sessionapp.use(session({  name: 'session-name', // 這里是cookie的name，默認(rèn)是connect.sid  secret: 'my_session_secret', // 建議使用 128 個字符的隨機字符串  resave: true,  saveUninitialized: false,  // cookie: { maxAge: 60 * 1000, httpOnly: true },  store: new redisStore({    host: '127.0.0.1',    port: '6379',    db: 0,    pass: '',  })}));app.get('/', function(req, res, next) {  if(req.session.isFirst || req.cookies.isFirst) {    res.send("歡迎再一次訪問");  } else {    req.session.isFirst = 1;    res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});    res.send("歡迎第一次訪問。");  }});app.listen(3030, function() {  console.log('express start on: ' + 3030)});

這樣我們將session保存在redis中的信息，保存在了session_id所標(biāo)示的客戶端cooke中一份，這樣我們就不用擔(dān)心，瀏覽器關(guān)閉，cookie中的session_id字段就會消失的情況，因為瀏覽器中還有它的備份cookie，如果沒有備份的cookie信息，下次客戶端再次發(fā)出請求瀏覽就無法確定用戶的身份。

參考源碼

nodejs 快速上手

以上就是本文的全部內(nèi)容，希望對大家的學(xué)習(xí)有所幫助，也希望大家多多支持武林網(wǎng)。

上一篇：JS實現(xiàn)的拋物線運動效果示例

下一篇：JavaScript實現(xiàn)的貝塞爾曲線算法簡單示例