node中的session

前言

在上一篇中node中的cookie，對cookie進行了相關介紹，本篇將繼續前行，對session進行說明。

session是什麼

session不就是會話嘛，那什麼是會話呢？
會話是一個比鏈接粒度更大的概念，一次會話可能包含屢次鏈接，每次鏈接都被認爲是會話的一次操做。
當用戶在Web頁面之間跳轉時，存儲在 Session 對象中的變量將不會丟失，而是在整個用戶會話中一直存在下去。
當用戶請求來自應用程序的 Web 頁面時，若是該用戶尚未會話，則 Web 服務器將自動建立一個 Session 對象。當會話過時或被放棄後，服務器將終止該會話。

說了這麼多，咱們先來看看這貨吧。

原來session中間件生成的session是一個對象，裏面包含了cookie信息。

node中的session

首先，安裝express框架，cookieParser中間件，express-session中間件

npm i express --save
npm i cookie-parser --save
npm i express-session --save

默認狀況下，Express會話中間件是把session信息存儲在內存中，且須要用簽名cookie，因此在使cookieParser()時得給它傳給一個祕鑰。若是沒有祕鑰，則會提醒 Error: secret option required for sessions

代碼以下：

var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');

var app = express()
app.use(cookieParser())

const hour = 1000 * 60 * 60;
var sessionOpts = {
  // 設置密鑰
  secret: 'a cool secret',
  // Forces the session to be saved back to the session store
  resave: true,
  // Forces a session that is "uninitialized" to be saved to the store.
  saveUninitialized: true,
  // 設置會話cookie名, 默認是connect.sid
  key: 'myapp_sid',
  // If secure is set to true, and you access your site over HTTP, the cookie will not be set.
  cookie: { maxAge: hour * 2, secure: false }
}
app.use(session(sessionOpts))

app.use(function(req, res, next) {
  if (req.url === '/favicon.ico') {
    return
  }

  // 同一個瀏覽器而言，req是同一個
  var sess = req.session;
  console.log(sess)

  if (sess.views) {
    sess.views++;
  } else {
    sess.views = 1;
  }
  res.setHeader('Content-Type', 'text/html');
  res.write('<p>views: ' + sess.views + '</p>');
  res.end();
});

app.listen(4000);

上面代碼實現了一個簡單的頁面瀏覽計數功能。
運行上面代碼，能夠打開瀏覽器，不斷刷新頁面，觀察node程序中打印的sess值。
咱們發現，在同一個瀏覽器中刷新頁面，控制檯上打印的是同一個session，只不過其中的views的值變了，也就是說，屢次http鏈接對應的是同一個會話。

session存入redis

默認狀況下，Express會話中間件是把session信息存儲在內存中，但在開發和生產期間，最好有一個持久化的、可擴展的數據存放你的會話數據。express社區已經建立了幾個使用數據庫的會話存儲，包括MongoDB、Redis、Memcached、PostgreSQL以及其餘數據庫。但低延遲的鍵/值存儲最適合這種易失性數據，這裏咱們先用redis來存儲session信息。

首先，安裝connect-redis模塊

npm i connect-redis --save

代碼以下：

var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');

var RedisStore = require('connect-redis')(session);

var app = express()
app.use(cookieParser())

var options = {
  host: '127.0.0.1',
  port: 6379,
  db: 1, // Database index to use. Defaults to Redis's default (0).
  prefix: 'ID:' // Key prefix defaulting to "sess:"
  // pass: 'aaa' // Password for Redis authentication
}

const hour = 1000 * 60 * 60;
var sessionOpts = {
  store: new RedisStore(options),
  // 設置密鑰
  secret: 'a cool secret',
  // Forces the session to be saved back to the session store
  resave: true,
  // Forces a session that is "uninitialized" to be saved to the store.
  saveUninitialized: true,
  // 設置會話cookie名
  key: 'myapp_sid',
  // If secure is set to true, and you access your site over HTTP, the cookie will not be set.
  cookie: { maxAge: hour * 8, secure: false }
}
app.use(session(sessionOpts)) // 若是沒有secret，會提醒 Error: secret option required for sessions

app.use(function(req, res, next) {
  if (req.url === '/favicon.ico') {
    return
  }

  var sess = req.session;
  var id = req.sessionID; // session ID, 只讀
  console.log(sess, id);

  if (sess.views) {
    sess.views++; // 若是放在res.end()後，不會自增
    res.setHeader('Content-Type', 'text/html');
    res.write('<p>views: ' + sess.views + '</p>');
    res.write('<p>expires in: ' + (sess.cookie.maxAge / 1000) + 's</p>');
    res.end();
  } else {
    sess.views = 1;
    res.end('welcome to the session demo. refresh!');
  }
});

app.listen(4000);

上面程序中，將會話信息存入了redis的db1數據庫中，運行後，刷新瀏覽器，數據庫中的信息以下：

session存入mongoDb

首先，得安裝connect-mongo模塊

npm i connect-mongo --save

代碼以下：

var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');

var MongoStore = require('connect-mongo')(session);
const hour = 1000 * 60 * 60

var app = express()
app.use(cookieParser())
app.use(session({
  secret: 'a cool secret',
  key: 'mongo_sid',
  cookie: { maxAge: hour * 8, secure: false },
  resave: true,
  saveUninitialized: true,
  store: new MongoStore({
    url: 'mongodb://@localhost:27017/demodb'
  })
}));

app.use(function(req, res, next) {
  if (req.url === '/favicon.ico') {
    return
  }

  var sess = req.session;
  var id = req.sessionID; // session ID, 只讀
  console.log(sess, id);

  if (sess.views) {
    sess.views++;
  } else {
    sess.views = 1;
  }

  res.setHeader('Content-Type', 'text/html');
  res.write('<p>views: ' + sess.views + '</p>');
  res.write('<p>expires in: ' + (sess.cookie.maxAge / 1000) + 's</p>');
  res.write('<p>httpOnly: ' + sess.cookie.httpOnly + '</p>');
  res.write('<p>path: ' + sess.cookie.path + '</p>');
  res.write('<p>secure: ' + sess.cookie.secure + '</p>');
  res.end();
});

app.listen(4000);

運行後，刷新瀏覽器頁面，在demodb數據庫中的sessions集合中發現已經存入了以下session信息。

可能會有人問：結果是看到了，但這過程當中到底發生了什麼呢？
其實，當瀏覽器發起第一次請求時，session中間件會生成一個session對象（其中包含cookie信息），這個session對象會存入mongoDb數據庫中，同時，請求返回時，瀏覽器客戶端會自動將這個session對象中的cookie保存起來，注意哦，瀏覽器存的但是cookie，而不是session對象。
這個cookie有一個過時時間，好比，上面代碼中設置的是8小時。也就是說，8小時後，這個cookie在瀏覽器中會自動消失。

最後

如今，你弄清楚session和cookie之間的關係了嗎？下一篇我將對node中的密碼安全進行介紹，敬請期待哦。