權限處理 - 用redis實現分佈式session~ (cookie && session )
如何進行權限管理? 首先咱們要了解一下cookie和sessionjavascript
cookie
爲何有cookie?咱們說http請求實際上是無狀態的,也就是第一次和第二次訪問瀏覽器都沒法識別,因而咱們在瀏覽器第一次訪問服務器的時候,服務器會經過set-cookie響應頭給瀏覽器種個cookie(標識),cookie是爲了辯別用戶身份,進行會話跟蹤而存儲在客戶端上的數據,如圖:html
express對cookie作了封裝,咱們先看原生cookie是如何實現通訊的java
cookie原生
let http = require('http');
let server = http.createServer(function (req,res) {
if(req.url === '/read'){
res.end(req.headers['cookie']);
}else if(req.url === '/write'){
res.setHeader('Set-Cookie','name=zdl');
res.end('oks');
}else{
res.end('Not Found');
}
});
server.listen(3000);
複製代碼
express封裝的cookie
express-cookie,cookie通常存沒用的東西,只是個標識,簽名nginx
let express = require('express');
let app = express();
app.get('/read',function (req,res) {
res.send(req.cookies); // 取沒有簽名的cookie
});
app.get('/write',function (req,res) {
//設置cookie方法res.cookie
res.cookie('name','zdl');
res.cookie('age','9');
res.send('ok')
})
app.listen(3000);
複製代碼
設置多個cookie咱們可能須要以對象的形式展現出來,這是咱們須要用到querystring模塊redis
let express = require('express');
let app = express();
let querystring = require('querystring');
app.get('/read',function (req,res) {
res.send(querystring.parse(req.headers.cookie, '; ', '='));
});
app.get('/write',function (req,res) {
//設置cookie方法res.cookie
res.cookie('name','zdl');
res.cookie('age','9');
res.send('ok')
})
app.listen(3000);
複製代碼
簽名(cookie)
document.cookie= 'name=zdl'再刷新以後就會被串改,因此咱們會加個簽名(加密),須要引用一個模塊(cookie-parser)(須要安裝)mongodb
let express = require('express');
let app = express();
let cookieParser = require('cookie-parser')
app.use(cookieParser('zfpx'));
app.get('/read',function (req,res) {
res.send(req.signedCookies); // 簽名能夠防止cookie的篡改
});
app.get('/write',function (req,res) {
//設置cookie方法res.cookie
res.cookie('name','zdl1',{signed:true});
res.cookie('age','9');
res.send('ok')
})
app.listen(3000);
複製代碼
其餘選項
cookie將緩存放在硬盤上了,session放在瀏覽器上的瀏覽器關掉就消失了數據庫
let express = require('express');
let app = express();
app.get('/write',function (req,res) {
//僅訪問read的時候有,且10s以後過時
res.cookie('name','zdl',{path:'/read',expires:new Date(Date.now() + 10*1000),maxAge: 10 *1000,httpOnly:true});
res.end('ok')
})
app.get('/read',function (req,res) {
res.end(JSON.stringify(req.cookies));
});
app.get('/read2',function (req,res) {
res.end(JSON.stringify(req.cookies));
});
app.listen(3000);
複製代碼
實現cookie-parser中間件
let querystring = require('querystring');
module.exports = function(){
return function(req,res,next) {
let cookie = req.headers.cookie;
if(cookie) {
req.cookies = querystring.parse(cookie,'; ');
next();
}else{
req.cookies ={};
next();
}
}
}
複製代碼
實現req.cookies中間件
app.use(function(req,res,next){
res.cookie = function(key ,val, options){
let pairs = [`${key} = ${encodeURIComponent(val)}`];
if(options.domain){
pairs.push(`Domain=${options.domain}`)
}
if(options.path){
pairs.push(`Path=${options.path}`)
}
if(options.expires){
pairs.push(`Expires=${options.expires.toUTCString()}`)
}
if(options.maxAge){
pairs.push(`max-Age=${options.maxAge}`)
}
if(options.httpOnly){
pairs.push(`httpOnly=true`)
}
}
let cookie = pairs.jion('; ');
res.setHeader('Set-Cookie',cookie)
})
複製代碼
統計某個客戶端訪問的次數
let express = require('express');
let cookieParser = require('cookie-parser');
let app = express();
app.use(cookieParser());
app.get('/visit',function(req,res){
let visit = req.cookies.visit;
console.log(visit);
if(visit){
visit = isNaN(visit) ? 0 : Number(visit) + 1;
}else{
visit = 1;
}
res.cookie('visit',visit,{path:'/visit',httpOnly:true});
res.send(`這是你第${visit}次訪問`)
})
app.listen(8080);
//test:localhost:8080/visit
複製代碼
爲了防止服務器串改,咱們使用{signed:true}也就是加密,如今對req.cookies中間件作加密優化(加密請查看加密詳解文章)express
let express = require('express');
let querystring = require('querystring')
// let cookieParser = require('cookie-parser');
let app = express();
function signed(val ,secret){ //值,祕鑰 (secret在cookieparser的時候傳進來)
return 's:' + val + '.' + require('crypto')
.createHmac('sha256',secret)
.update(val)
.digest('base64')
.replace(/\=+$/,'') //生成祕鑰後去掉等號就是最後的結果
}
function unsign(val,secret){
let value = val.slice(2,val.indexOf('.'));
console.log('value=' + value);
console.log(val.indexOf('.'));
console.log(val);
console.log(signed(value,secret));
//signed值沒有編碼的,包含+的
return signed(value,secret) == val ? value : false;
}
function cookieParser(secret){
return function(req,res,next){
req.secret = secret;//將祕鑰付給req,加密須要此對象
let cookie = req.headers.cookie;//name='s:9.0000
if(cookie){ //若是cookie存在則進行對比,這裏的cookie拿到的是簽名後的值
let cookies = querystring.parse(cookie,'; ')//{name:'s:9.0000'}
let signedCookies = {};
if(secret){//是否解密
for(let key in cookies){
signedCookies[key] = unsign(cookies[key],secret);
}
}
req.signedCookies = signedCookies;
req.cookies = cookies;
next();
}else{//不然
req.cookies = req.signedCookies = {};
next();
}
}
}
app.use(cookieParser('zdl')); //傳過去祕鑰
app.use(function(req,res,next){
res.cookie = function(key ,val, options){
encodeURIComponent
//req.res能夠拿到響應對象,res.req能夠拿到請求對象
let pairs = [`${key} = ${encodeURIComponent(signed(String(val),this.req.secret))}`];//值,密碼
if(options.domain){
pairs.push(`Domain=${options.domain}`)
}
if(options.path){
pairs.push(`Path=${options.path}`)
}
if(options.expires){
pairs.push(`Expires=${options.expires.toUTCString()}`)
}
if(options.maxAge){
pairs.push(`max-Age=${options.maxAge}`)
}
if(options.httpOnly){
pairs.push(`httpOnly=true`)
}
let cookie = pairs.join('; '); //57hang
res.setHeader('Set-Cookie',cookie)
}
next();
})
app.get('/visit',function(req,res){ //63hang
let visit = req.signedCookies.visit; // let visit = req.cookies.visit;
if(visit){
visit = isNaN(visit) ? 0 : Number(visit) + 1;
}else{
visit = 1;
}
//this.req.secret
res.cookie('visit',String(visit),{signed:true});
res.send(`${visit}`)
})
app.listen(8080);
複製代碼
使用cookie注意事項npm
- 可能被客戶端串改,使用錢驗證合法性
- 不要存儲敏感數據,好比用戶密碼,帳戶餘額
- 使用httpOnly保證安全
- 儘可能減小cookie的體積
- 設置正確的domain和path,減小數據傳輸
因爲cookie存儲在硬盤上很容易被用戶串改,咱們通常採用session,session是存在服務器上的json
session
每次訪問服務器同一個卡號對應服務器端存儲信息
let express = require('express');
let cookiepaser = require('cookie-parser');
let app = express();
app.use(cookiepaser())
let sessions = {};
const SESSION_KEY = 'connect.sid';
app.get('/',function(req, res){
let sessionId = req.cookies[SESSION_KEY];
if(sessionId){
let sessionObj = sessions[sessionId];
if(sessionObj){
sessionObj.balance -= 10;
res.send(`歡迎新顧客,送你一張卡,餘額${sessionObj.balance}`)
}else{
genId();
}
}else{
genId();
}
function genId(){
//第一次來發會員卡 卡號惟一,不容易被猜到
let sessionId = Date.now() + Math.random() + '';
//在服務器端開闢內存,記錄信息
sessions[sessionId] = {balance:100, name:req.query.name} ; //session對象
//把卡號經過cookie發給客戶端
res.cookie(SESSION_KEY , sessionId)
res.send('歡迎新顧客,送你一張卡,餘額100')
}
})
app.listen(3000)
複製代碼
express-session中間件使用
須要安裝$ npm install express-session
- 在服務器端生成全局惟一標識符session_id
- 在服務器內存裏開闢此session_id對應的數據存儲空間
- 將session_id做爲全局惟一標示符經過cookie發送給客戶端
- 之後客戶端再次訪問服務器時會把session_id經過請求頭中的cookie發送- 給服務器
- 服務器再經過session_id把此標識符在服務器端的數據取出
express-session是用來獲取和綁定session的,當你使用此以後在req商會多一個req.session
let express = require('express');
let querystring = require('querystring')
let session = require('express-session');
let app = express();
//secret, resave,saveUninitialized
app.use(session({
secret: 'zdl',
resave: true,
saveUninitialized: true
}));
app.get('/visit',function(req,res){
let visit = req.session.visit;
if(visit){
visit = isNaN(visit) ? 0 : Number(visit) + 1;
}else{
visit = 1;
}
req.session.visit = visit;
res.send(`${visit}`)
})
app.listen(8080);
//test:localhost:8080/visit
複製代碼
express-session 中間件的實現
- 瀏覽器經過cookie把sessionId發送給服務器
- express拿到ID,從而拿到session對象,session有個store(倉庫),多是cookie,memory,connet-mencached
- user 返回 new user
- 拿到ID返回
| name | detailed |
|---|---|
| name | 設置 cookie 中,保存 session 的字段名稱,默認爲 connect.sid |
| store | session 的存儲方式,默認存放在內存中,也可使用 redis,mongodb 等 |
| secret | 經過設置的 secret 字符串,來計算 hash 值並放在 cookie 中,使產生的 signedCookie 防篡改 |
| cookie | 設置存放 session id 的 cookie 的相關選項,默認爲 (default: { path: '/', httpOnly: true, secure: false, maxAge: null }) |
| genid | 產生一個新的 session_id 時,所使用的函數, 默認使用 uid2 這個 npm 包 |
| rolling | 每一個請求都從新設置一個 cookie,默認爲 false |
| saveUninitialized | 是指不管有沒有session cookie,每次請求都設置個session cookie ,默認給個標示爲 connect.sid |
| resave | 是指每次請求都從新設置session cookie,假設你的cookie是10分鐘過時,每次請求都會再設置10分鐘 |
須要安裝部分中間件,這裏就不一一列舉了
let express = require('express');
let path = require('path');
let querystring = require('querystring')
let bodyPaser = require('body-parser')
let session = require('express-session');
let app = express();
app.set('view engine','html');
app.use(bodyPaser.urlencoded({extended:true}))
app.set('views',path.resolve(__dirname,'views'));
app.engine('.html',require('ejs').__express);
//secret, resave,saveUninitialized
app.use(session({
secret: 'zdl',
resave: true,
saveUninitialized: true
}));
let users = [];
//註冊
app.get('/reg',function(req,res){
res.render('reg',{title: '註冊'})
})
app.post('/reg',function(req,res){
let user = req.body;
users.push(user);
res.redirect('/login');//重定向到login頁面
})
//登陸
app.get('/login',function(req,res){
res.render('login',{title: '登陸'})
})
app.post('/login',function(req,res){
let user = req.body;
let oldUser = users.find(item => user.username == item.username && user.password == item.password);
if(oldUser){
req.session.user = oldUser; //跳轉以前記錄下用戶
res.redirect('/user')
}else{
res.render('back')
}
})
function checkuser(req,res,next){
if(req.session.user){
next()
}else{
res.redirect('/login')
}
}
app.get('/user',checkuser,function(req,res){
//在沒有登陸的狀況下直接訪問會報錯,須要給她配置一個檢查,寫個中間件
res.render('user',{username:req.session.user.username,title:'用戶中心'})
})
//退出
app.get('/logout',function(req,res){
delete req.session.user;
res.redirect('/login')
})
app.listen(8080);
複製代碼
redis實現分佈式session
session會話和seesionsttorge不同的
客戶端訪問服務器,一般在瀏覽器訪問量很大的時候,咱們會有不少臺服務器,這首咱們通常會隨機分配(其實有些策略像nginx負載均衡,例如輪詢等等,後面的文行坑能會更新這一部份內容),大概原理就是咱們請求不一樣的服務器,不一樣的服務器將數據統一在統一臺數據庫作處理,這邊其實不是服務器,實際上是集羣,全部服務器讀取一體,下面咱們用redis實現一下
安裝connect-redis中間件使用 須要下載此中間件+redis數據庫
//在上面js基礎上添加
...
//經過redis存儲session
const ResiStore = require('connect-redis')(session);
...
app.use(session({
...
//store制定把會話數據放在哪一個地方
store:new ResiStore({ // 制定redis放在哪一個地方
host: 'localhost',
port: 6379
})
}));
let users = [];
//註冊
app.get('/reg',function(req,res){...})
...
app.listen(8080);
複製代碼
一樣將seesion存到文件,相似
//本身實現一個模塊將session數據放在文件系統裏
const FileStore = require('./connect-file')(session);
...
app.use(session({
...
store:new FileStore({ // 制定redis放在哪一個地方
dir : path.resolve(__dirname,'sessions')
})
}));
let users = [];
//註冊
...
app.listen(8080);
複製代碼
connect-redis中間件實現
connect-file
const FileStore = require('./connect-file')(session);
store:new FileStore({dir : path.resolve(__dirname,'sessions') })
上述兩行代碼能夠看出
./connect-file導出的FileStore是個函數- 傳進去session參數
new FileStor像是個類,也像是個構造函數- express-session 提供一組接口 實現了一組基類的實現,能夠擴展,擴展存儲位置,若是實現自定義存儲類,須要定義三個方法
get獲取sessionset設置sessiondestory銷燬session,也就是讀,寫,銷燬
let util = require('util');
let path = require('path');
let mkdirp = require('mkdirp');//集羣建立目錄的模塊 須要安裝
let fs = require('fs');
//返回函數傳進去參數session
function createFileStore(session){
//store類是全部自定義存儲的基類
let Store = session.Store;
util.inherits(FileStore,Store);//FileStore繼承Store類
//此目錄存放着全部的session對象,每一個對象都是json文件
function FileStore(options = {}){
// new FileStore({dir : path.resolve(__dirname,'sessions') })
let {dir = path.resolve(__dirname,'session')} = options;
this.dir = dir; //保存到實例上,在portotype可使用
mkdirp(this.dir);//級聯建立文件,fs.mkdir父目錄不存在不能建立子目錄,此模塊此須要安裝
}
//FileStore是個類
//經過sessonid拿到對應的文件名
FileStore.prototype.resolve = function(sid){
return path.resolve(this.dir,`${sid}.json`)//文件名,每一個session對象對應這樣一個文件
}
//經過sessonid保存session到文件中去
FileStore.prototype.set = function(sid , session , callback){
fs.writeFile(this.resolve(sid),JSON.stringify(session),callback)
}
//sid卡號
//經過sessonid獲取文件系統中存放的session對象
FileStore.prototype.get = function(sid , callback){
fs.readFile(this.resolve(sid),'utf8',function(err,data){
if(err) callback(err);
else callback(err, JSON.parse(data))
})
}
FileStore.prototype.destroy = function(sid , callback){
fs.unlink(this.resolve(sid),callback)
}
return FileStore;
}
module.exports = createFileStore;
複製代碼
最後會生成一個session文件夾,下面存在一個json文件存放session
connect-redis
let util = require('util');
const redis = require('redis');//redis文件須要下載
function createRedisStore(session){
let Store = session.Store;
util.inherits(RedisStore,Store);//子,父類
function RedisStore(options = {}){
let {} = options;
//建立客戶端
this.client = redis.createClient(options.port|| 6379,options.host||'localhost');
}
RedisStore.prototype.set = function(sid , session , callback){
this.client.set(sid,JSON.stringify(session),callback)
}
RedisStore.prototype.get = function(sid , callback){
this.client.get(sid,function(err,data){
if(err) callback(err);//第一次文件不存在
callback(err,JSON.parse(data))
})
}
RedisStore.prototype.destroy = function(sid , callback){
this.client.unset(sid,callback)
}
return RedisStore;
}
module.exports = createRedisStore;
複製代碼
這就是咱們的cookie,session,利用齊權限管理以及中間件的實現,和redis分佈用法,寶寶我啃了兩天,你們耐心一點哦
相關文章
- 1. 分佈式cookie-session的實現(spring-session)
- 2. Spring-session(spring-session-data-redis)實現分佈式下Session共享
- 3. spring+redis自主實現分佈式session(非spring-session方式)
- 4. Redis應用1---Spring Session + Redis 實現Session的分佈式存儲
- 5. redis分佈式session如何實現?
- 6. 分佈式Session、Cookie、JWT
- 7. Session分佈式共享 = Session + Redis + Nginx
- 8. Session分佈式共享 = Session + Redis + Nginx(轉)
- 9. PHP分佈式中Redis實現Session
- 10. springboot+redis實現分佈式session共享
- 更多相關文章...
- • PHP Session - PHP教程
- • ASP Session 對象 - ASP 教程
- • 常用的分佈式事務解決方案
- • 再有人問你分佈式事務,把這篇扔給他
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. 在windows下的虛擬機中,安裝華爲電腦的deepin操作系統
- 2. 強烈推薦款下載不限速解析神器
- 3. 【區塊鏈技術】孫宇晨:區塊鏈技術帶來金融服務的信任變革
- 4. 搜索引起的鏈接分析-計算網頁的重要性
- 5. TiDB x 微衆銀行 | 耗時降低 58%,分佈式架構助力實現普惠金融
- 6. 《數字孿生體技術白皮書》重磅發佈(附完整版下載)
- 7. 雙十一「避坑」指南:區塊鏈電子合同爲電商交易保駕護航!
- 8. 區塊鏈產業,怎樣「鏈」住未來?
- 9. OpenglRipper使用教程
- 10. springcloud請求一次好用一次不好用zuul Name or service not known
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 分佈式cookie-session的實現(spring-session)
- 2. Spring-session(spring-session-data-redis)實現分佈式下Session共享
- 3. spring+redis自主實現分佈式session(非spring-session方式)
- 4. Redis應用1---Spring Session + Redis 實現Session的分佈式存儲
- 5. redis分佈式session如何實現?
- 6. 分佈式Session、Cookie、JWT
- 7. Session分佈式共享 = Session + Redis + Nginx
- 8. Session分佈式共享 = Session + Redis + Nginx(轉)
- 9. PHP分佈式中Redis實現Session
- 10. springboot+redis實現分佈式session共享