express如何使用session與cookie
無狀態的http
咱們都知道http的請求和響應式相互獨立的,服務器沒法識別兩條http請求是不是同一個用戶發送的。也就是說服務器端並無記錄通訊狀態的能力。咱們一般使用cookie和session來肯定會話雙方的身份。node
cookie
cookie 是從服務器端發送的,服務器給不一樣的用戶發送不一樣的標識,這個標識表示用戶的身份,服務器經過客戶端發送的這個標識來識別用戶的身份,從而查詢服務器中的該用戶的相關數據,而後發送到該用戶。git
安裝express提供的cookie-parser中間件:github
npm i -S cookie-parser
在咱們使用的項目頁面模塊中引入 cookie-parser 插件,而後實例化它,以下:redis
var cookieParser = require('cookie-parser');
var cp = cookieParser(secret, options);
它有兩個參數,第一個參數secret,用它能夠對cookie進行簽名,也就是咱們常說的cookie加密。它能夠是字符串也能夠是數組,若是熟悉加密原理的同窗應該知道,這個字符串就是服務器所擁有的密文,第二個參數options包含以下可選參數:mongodb
path:指定 cookie 影響到的路徑 expires: 指定時間格式 maxAge:指定 cookie 何時過時 secure:當 secure 值爲 true 時,在 HTTPS 中才有效;反之,cookie 在 HTTP 中是有效。 httpOnly:瀏覽器不容許腳本操做 document.cookie 去更改 cookie。設置爲true能夠避免被 xss 攻擊拿到 cookie
參考cookie-parser中的例子,實現一個記住訪問路徑的demo,代碼以下:數據庫
var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 使用 cookieParser 中間件;
app.use(cookieParser());
// 若是請求中的 cookie 存在 isFirst
// 不然,設置 cookie 字段 isFirst, 並設置過時時間爲10秒
app.get('/', function(req, res) {
if (req.cookies.isFirst) {
res.send("再次歡迎訪問");
console.log(req.cookies)
} else {
res.cookie('isFirst', 1, { maxAge: 60 * 1000});
res.send("歡迎第一次訪問");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
cookie-parser 還能夠對Cookie數據進行加密,也就是咱們所說的signedCookies。express
signedCookies
實現代碼以下:npm
var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 使用 cookieParser 中間件;
app.use(cookieParser('my_cookie_secret'));
// cookie
app.get('/', function(req, res) {
if (req.signedCookies.isFirst) {
res.send("歡迎再一次訪問");
console.log(req.signedCookies)
} else {
res.cookie('isFirst', 1, { maxAge: 60 * 1000, signed: true});
res.send("歡迎第一次訪問");
}
});
從上面的代碼中咱們知道cooke-parser的第一個參數能夠指定服務器端的提供的加密密匙,而後咱們使用options中的signed配置項可實現加密。雖然這樣相對安全,可是客戶端的Cookie有侷限性,在客戶端發送請求時會增長請求頭部的數據量,致使請求速度變慢;另外它不能實現數據的共享。數組
session
express-session 是expressjs的一箇中間件用來建立session。服務器端生成了一個sessionn-id,客戶端使用了cookie保存了session-id這個加密的請求信息,而將用戶請求的數據保存在服務器端,可是它也能夠實現將用戶的數據加密後保存在客戶端。瀏覽器
session記錄的是客戶端與服務端之間的會話狀態,該狀態用來肯定客戶端的身份。
express-session支持session存放位置
能夠存放在cookie中,也能夠存放在內存中,或者是redis、mongodb等第三方服務器中。
session默認存放在內存中,存放在cookie中安全性過低,存放在非redis數據庫中查詢速度太慢,通常項目開發中都是存放在redis中(緩存數據庫)。
在express提供的express-session中間件安裝命令:
npm i -S express-session
在咱們使用的項目頁面模塊中引入 express-session 插件,而後實例化它,以下:
var session = require('express-session');
var se = session(options);
session()的參數options配置項主要有:
name: 設置cookie中,保存session的字段名稱,默認爲connect.sid store: session的存儲方式,默認爲存放在內存中,咱們能夠自定義redis等 genid: 生成一個新的session_id時,默認爲使用uid2這個npm包 rolling: 每一個請求都從新設置一個cookie,默認爲false resave: 即便session沒有被修改,也保存session值,默認爲true saveUninitialized:強制未初始化的session保存到數據庫 secret: 經過設置的secret字符串,來計算hash值並放在cookie中,使產生的signedCookie防篡改 cookie : 設置存放sessionid的cookie的相關選項
那麼,使用它咱們都能作些什麼呢?下面咱們將一一介紹。
cookie session
cookie session 使用很簡單就是咱們在配置項中使用cookie配置項,就能夠將session數據保存在cookie中,它和signedCookies相似都是將數據保存在客戶端,並且都對數據進行了加密,可是加密後的請求獲得的數據結構不同。
cooke session 的結構以下:
Session {
cookie:
{ path: '/',
_expires: 2018-01-29T17:58:49.950Z,
originalMaxAge: 60000,
httpOnly: true },
isFirst: 1 }
signedCookie 結構以下:
{ isFirst: '1' }
實現cookie session代碼以下:
var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();
// session
app.use(session({
name: 'session-name', // 這裏是cookie的name,默認是connect.sid
secret: 'my_session_secret', // 建議使用 128 個字符的隨機字符串
resave: true,
saveUninitialized: false,
cookie: { maxAge: 60 * 1000, httpOnly: true }
}));
// route
app.get('/', function(req, res, next) {
if(req.session.isFirst || req.cookies.isFirst) {
res.send("歡迎再一次訪問");
} else {
req.session.isFirst = 1;
res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
res.send("歡迎第一次訪問。");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
signed-cookie vs cookie session
- signedCookies 信息可見但不可修改,cookie session不可見也不可修改
- signedCookies 信息長期保存客戶端,後者客戶端關閉,信息消失
針對Cooke session增長了客戶端請求的數據規模,咱們通常這樣使用,數據庫存儲session。
數據庫保存session
用數據庫保存session,咱們通常使用redis,由於它是緩存數據庫,查詢速度相較於非緩存的速度更快。
express-session 的實例代碼以下:
var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();
// session
app.use(session({
name: 'session-name', // 這裏是cookie的name,默認是connect.sid
secret: 'my_session_secret', // 建議使用 128 個字符的隨機字符串
resave: true,
saveUninitialized: false,
store: new redisStore({
host: '127.0.0.1',
port: '6379',
db: 0,
pass: '',
})
}));
// route
app.get('/', function(req, res) {
if (req.session.isFirst) {
res.send("歡迎再一次訪問。");
console.log(req.session)
} else {
req.session.isFirst = 1;
res.send("歡迎第一次訪問。");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
但有時咱們也使用非redis數據庫保存session,這時咱們就須要對項目結構有深入的認識和理解;不然,使用後反而會拔苗助長。
另外,咱們要注意使用數據庫保存session數據,在瀏覽器端的session-id會隨着瀏覽器的關閉而消失,下次打開瀏覽器發送請求時,服務器依然不能識別請求者的身份。
cookie session 雖然能解決這個問題,可是它自己存在着安全風險,其實cookie session 和 signedCookies都面臨xss攻擊。
其實,使用signedCookies和session的結合會在必定程度上下降這樣的風險。
signedCookies(cookies) 和 session的結合
在開發中,咱們每每須要signedCookies的長期保存特性,又須要session的不可見不可修改的特性。
var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();
// 使用 cookieParser 中間件;
app.use(cookieParser());
// session
app.use(session({
name: 'session-name', // 這裏是cookie的name,默認是connect.sid
secret: 'my_session_secret', // 建議使用 128 個字符的隨機字符串
resave: true,
saveUninitialized: false,
// cookie: { maxAge: 60 * 1000, httpOnly: true },
store: new redisStore({
host: '127.0.0.1',
port: '6379',
db: 0,
pass: '',
})
}));
app.get('/', function(req, res, next) {
if(req.session.isFirst || req.cookies.isFirst) {
res.send("歡迎再一次訪問");
} else {
req.session.isFirst = 1;
res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
res.send("歡迎第一次訪問。");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
這樣咱們將session保存在redis中的信息,保存在了session_id所標示的客戶端cooke中一份,這樣咱們就不用擔憂,瀏覽器關閉,cookie中的session_id字段就會消失的狀況,由於瀏覽器中還有它的備份cookie,若是沒有備份的cookie信息,下次客戶端再次發出請求瀏覽就沒法肯定用戶的身份。
- 1. express中 使用session與cookie
- 2. express cookie-session
- 3. Express Cookie & Session
- 4. cookie 與 session 使用
- 5. express 使用 cookie
- 6. Flask 中使用 cookie 與 session
- 7. Cookie與Session的使用
- 8. express中的cookie和session
- 9. express中處理cookie/session
- 10. node中如何使用session,打通session、cookie任督二脈(express框架之session實戰)
- 更多相關文章...
- • XSD 如何使用? - XML Schema 教程
- • 如何僞造ARP響應? - TCP/IP教程
- • Composer 安裝與使用
- • Java Agent入門實戰(一)-Instrumentation介紹與使用
-
每一个你不满意的现在,都有一个你没有努力的曾经。
- 1. python的安裝和Hello,World編寫
- 2. 重磅解讀:K8s Cluster Autoscaler模塊及對應華爲雲插件Deep Dive
- 3. 鴻蒙學習筆記2(永不斷更)
- 4. static關鍵字 和構造代碼塊
- 5. JVM筆記
- 6. 無法啓動 C/C++ 語言服務器。IntelliSense 功能將被禁用。錯誤: Missing binary at c:\Users\MSI-NB\.vscode\extensions\ms-vsc
- 7. 【Hive】Hive返回碼狀態含義
- 8. Java樹形結構遞歸(以時間換空間)和非遞歸(以空間換時間)
- 9. 數據預處理---缺失值
- 10. 都要2021年了,現代C++有什麼值得我們學習的?