node中的cookie

爲何須要cookie

咱們知道http是無狀態的協議，無狀態是什麼意思呢？
我來舉一個小例子來講明：好比小明在網上購物，他瀏覽了多個頁面，購買了一些物品，這些請求在屢次鏈接中完成，若是不借助額外的手段，那麼服務器是不知道他到底購買了什麼的，由於服務器壓根就不知道每次請求的究竟是不是小明，除非小明有一個標識來證實他是小明。

因此，網站爲了辨別用戶身份，進行 session 跟蹤，cookie出現了。

cookie是什麼

簡單來講，cookie就是標識。
嚴格來講，cookie是一些存儲在客戶端的信息，每次鏈接的時候由瀏覽器向服務器遞交，服務器也向瀏覽器發起存儲 Cookie 的請求，依靠這樣的手段，服務器能夠識別客戶端。
具體來講，瀏覽器首次向服務器發起請求時，服務器會生成一個惟一標識符併發送給客戶端瀏覽器，瀏覽器將這個惟一標識符存儲在 Cookie 中，以後每次發起的請求中，客戶端瀏覽器都會向服務器傳送這個惟一標識符，服務器經過這個惟一標識符來識別用戶。

說了這麼多，打開瀏覽器，咱們先來看看這貨吧。

上圖中，就是瀏覽器中存的一個cookie，他的名字叫name，值爲abc。

常規cookie

光看不過癮，接下來，用node動手來作一個常規cookie吧。
首先，安裝express框架和cookieParser中間件

npm i express --save
npm install cookie-parser --save

cookieParser中間件的主要用途以下：

1. 解析來自瀏覽器的cookie，放到req.cookies中；
2. 針對簽名cookie，對cookie簽名和解籤

代碼以下：

var express = require('express');
var cookieParser = require('cookie-parser');

var app = express();
app.use(cookieParser());

app.use(function (req, res) {
  if (req.url === '/favicon.ico') {
    return
  }

  // 設置常規cookie, 有效期爲20s, 客戶端腳本不能訪問它的值
  res.cookie('name', 'abc', { signed: false, maxAge: 20 * 1000, httpOnly: true });
  console.log(req.cookies, req.url, req.signedCookies);

  res.end('hello cookie');
})

app.listen(4000)

運行後，在瀏覽器中打開 http://localhost:4000/
以chrome爲例，f12打開瀏覽器調試工具，在application中的cookies中便能發現你定義的cookie。
req.cookies和req.signedCookies屬性是隨http請求發送過來的請求頭中的Cookie的解析結果。
其中，req.cookies對應的是普通cookie，req.signedCookies對應的是簽名cookie。
若是請求中沒有cookie，這兩個對象都是空的。

簽名cookie

簽名cookie更適合敏感數據，由於用它能夠驗證cookie數據的完整性，有助於防止中間人攻擊。
有效的簽名cookie放在req.signedCookies對象中。

代碼以下：

var express = require('express');
var cookieParser = require('cookie-parser');

var app = express();

// 設置密鑰，用來對cookie簽名和解籤, Express能夠由此肯定cookie的內容是否被篡改過
app.use(cookieParser('a cool secret'));

app.use(function (req, res) {
  if (req.url === '/favicon.ico') {
    return
  }

  // 設置簽名cookie, 而且有效期爲1min
  res.cookie('name', 'efg', { signed: true, maxAge: 60 * 1000, httpOnly: true });
  console.log(req.cookies, req.url, req.signedCookies);

  res.end('signed cookie');
})
app.listen(4000)

運行後，在瀏覽器中打開 http://localhost:4000/
以chrome爲例，f12打開瀏覽器調試工具，在application中的cookies中便能發現你定義的簽名cookie，格式以下：s%3Aefg.7FJDuO2E9LMyby6%2Bo1fGQ3wkIHGB9v1CDVWod8NQVAo
.號左邊是cookie的值，右邊是服務器上用SHA-1 HMAC生成的加密哈希值。
若是這個簽名cookie的值被篡改，那麼服務器上對cookie的解籤會失敗，在node中輸出的req.signedCookies將爲false。以下：

而若是cookie完整無缺地傳上來，那麼將會被正確解析：

總結

你能夠在cookie中存聽任意類型的文本數據，但一般是在客戶端存放一個會話cookie，這樣你就能在服務器端保留完整的用戶狀態。
這項會話技術封裝在session中間件中，下一篇我將對express-session中間件進行介紹和說明，感謝您的閱讀，🍪🍪🍪