首頁 >web前端 >js教程 >在express如何使用session與cookie方法(詳細教學)

在express如何使用session與cookie方法(詳細教學)

亚连
亚连原創
2018-06-08 17:50:411850瀏覽

本篇文章主要介紹了express如何使用session與cookie的方法,現在分享給大家,也為大家做個參考。

無狀態的http

我們都知道http的請求和回應式相互獨立的,伺服器無法辨識兩個http請求是否是同一個使用者發送的。也就是說伺服器端並沒有記錄通訊狀態的能力。我們通常使用cookie和session來決定會話雙方的身分。

cookie

cookie 是從伺服器端發送的,伺服器給不同的使用者發送不同的標識,這個標識表示使用者的身份,伺服器透過客戶端發送的這個標識來識別使用者的身份,從而查詢伺服器中的該使用者的相關數據,然後發送到該使用者。

安裝express提供的cookie-parser中間件:

npm i -S cookie-parser

在我們使用的專案頁面模組中引入cookie-parser 插件,然後實例化它,如下:

var cookieParser = require('cookie-parser');
var cp = cookieParser(secret, options);

它有兩個參數,第一個參數secret,用它可以對cookie進行簽名,也就是我們常說的cookie加密。它可以是字串也可以是數組,如果熟悉加密原理的同學應該知道,這個字串就是伺服器所擁有的密文,第二個參數options包含如下可選參數:

  1. path:指定cookie 影響到的路徑

  2. ##expires: 指定時間格式

  3. maxAge:指定cookie 何時過期

  4. secure:當secure 值為true 時,在HTTPS 中才有效;反之,cookie 在HTTP 中有效。

  5. httpOnly:瀏覽器不允許腳本操作 document.cookie 去更改 cookie。設定為true可以避免被xss 攻擊拿到cookie

參考cookie-parser中的例子,實作一個記住存取路徑的demo,程式碼如下:

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();

// 使用 cookieParser 中间件;
app.use(cookieParser());

// 如果请求中的 cookie 存在 isFirst
// 否则,设置 cookie 字段 isFirst, 并设置过期时间为10秒
app.get('/', function(req, res) {
  if (req.cookies.isFirst) {
    res.send("再次欢迎访问");
    console.log(req.cookies)
  } else {
    res.cookie('isFirst', 1, { maxAge: 60 * 1000});
    res.send("欢迎第一次访问");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

cookie-parser 也可以將Cookie資料加密,也就是我們所說的signedCookies。

signedCookies

實作程式碼如下:

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();

// 使用 cookieParser 中间件;
app.use(cookieParser('my_cookie_secret'));

// cookie
app.get('/', function(req, res) {
  if (req.signedCookies.isFirst) {
    res.send("欢迎再一次访问");
    console.log(req.signedCookies)
  } else {
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, signed: true});
    res.send("欢迎第一次访问");
  }
});

從上面的程式碼我們知道cooke-parser的第一個參數可以指定伺服器端的提供的加密密匙,然後我們使用options中的signed配置項目可實現加密。雖然這樣相對安全,但是客戶端的Cookie有局限性,在客戶端發送請求時會增加請求頭部的資料量,導致請求速度變慢;另外它不能實現資料的共享。

session

express-session 是expressjs的一個中間件用來建立session。伺服器端產生了一個sessionn-id,客戶端使用了cookie保存了session-id這個加密的請求信息,而將用戶請求的數據保存在伺服器端,但是它也可以實現將用戶的數據加密後保存在客戶端。

session記錄的是客戶端與服務端之間的會話狀態,該狀態用來決定客戶端的身份。

express-session支援session存放位置

可以存放在cookie中,也可以存放在記憶體中,或是redis、mongodb等第三方伺服器中。

session預設存放在記憶體中,存放在cookie中安全性太低,存放在非redis資料庫中查詢速度太慢,一般專案開發中都是存放在redis中(快取資料庫)。

在express提供的express-session中間件安裝指令:

npm i -S express-session

在我們使用的專案頁面模組中引入express-session 插件,然後實例化它,如下:

var session = require('express-session');
var se = session(options);

session()的參數options配置項目主要有:

  1. name: 設定cookie中,保存session的欄位名稱,預設為connect.sid

  2. #store: session的儲存方式,預設儲存在記憶體中,我們可以自訂redis等

  3. genid: 產生一個新的session_id時,預設為使用uid2這個npm套件

  4. rolling: 每個請求都重新設定一個cookie,預設為false

  5. resave: 即使session沒有被修改,也儲存session值,預設為true

  6. saveUninitialized:強制未初始化的session儲存到資料庫

  7. secret: 透過設定的secret字串,來計算hash值並放在cookie中,使產生的signedCookie防篡改

  8. #cookie : 設定存放sessionid的cookie的相關選項

#那麼,使用它我們都能做些什麼呢?下面我們將一一介紹。

cookie session

cookie session 使用很簡單就是我們在配置項目中使用cookie配置項,就可以將session資料保存在cookie中,它和signedCookies類似都是將資料保存在客戶端,而且都對資料進行了加密,但是加密後的請求得到的資料結構不一樣。

cooke session 的結構如下:

Session {
 cookie:
  { path: '/',
   _expires: 2018-01-29T17:58:49.950Z,
   originalMaxAge: 60000,
   httpOnly: true },
 isFirst: 1 }

signedCookie 結構如下:

{ isFirst: '1' }

實作cookie session程式碼如下:

var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// session
app.use(session({
  name: 'session-name', // 这里是cookie的name,默认是connect.sid
  secret: 'my_session_secret', // 建议使用 128 个字符的随机字符串
  resave: true,
  saveUninitialized: false,
  cookie: { maxAge: 60 * 1000, httpOnly: true }
}));

// route
app.get('/', function(req, res, next) {
  if(req.session.isFirst || req.cookies.isFirst) {
    res.send("欢迎再一次访问");
  } else {
    req.session.isFirst = 1;
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
    res.send("欢迎第一次访问。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

signed-cookie vs cookie session

  1. signedCookies 資訊可見但不可修改,cookie session不可見也不可修改

  2. signedCookies 資訊長期保存客戶端,後者客戶端關閉,訊息消失

针对Cooke session增加了客户端请求的数据规模,我们一般这样使用,数据库存储session。

数据库保存session

用数据库保存session,我们一般使用redis,因为它是缓存数据库,查询速度相较于非缓存的速度更快。

express-session 的实例代码如下:

var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// session
app.use(session({
  name: 'session-name', // 这里是cookie的name,默认是connect.sid
  secret: 'my_session_secret', // 建议使用 128 个字符的随机字符串
  resave: true,
  saveUninitialized: false,
  store: new redisStore({
    host: '127.0.0.1',
    port: '6379',
    db: 0,
    pass: '',
  })
}));

// route
app.get('/', function(req, res) {
  if (req.session.isFirst) {
    res.send("欢迎再一次访问。");
    console.log(req.session)
  } else {
    req.session.isFirst = 1;
    res.send("欢迎第一次访问。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

但有时我们也使用非redis数据库保存session,这时我们就需要对项目结构有深刻的认识和理解;否则,使用后反而会适得其反。

另外,我们要注意使用数据库保存session数据,在浏览器端的session-id会随着浏览器的关闭而消失,下次打开浏览器发送请求时,服务器依然不能识别请求者的身份。

cookie session 虽然能解决这个问题,但是它本身存在着安全风险,其实cookie session 和 signedCookies都面临xss攻击。

其实,使用signedCookies和session的结合会在一定程度上降低这样的风险。

signedCookies(cookies) 和 session的结合

在开发中,我们往往需要signedCookies的长期保存特性,又需要session的不可见不可修改的特性。

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// 使用 cookieParser 中间件;
app.use(cookieParser());

// session
app.use(session({
  name: 'session-name', // 这里是cookie的name,默认是connect.sid
  secret: 'my_session_secret', // 建议使用 128 个字符的随机字符串
  resave: true,
  saveUninitialized: false,
  // cookie: { maxAge: 60 * 1000, httpOnly: true },
  store: new redisStore({
    host: '127.0.0.1',
    port: '6379',
    db: 0,
    pass: '',
  })
}));

app.get('/', function(req, res, next) {
  if(req.session.isFirst || req.cookies.isFirst) {
    res.send("欢迎再一次访问");
  } else {
    req.session.isFirst = 1;
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
    res.send("欢迎第一次访问。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

这样我们将session保存在redis中的信息,保存在了session_id所标示的客户端cooke中一份,这样我们就不用担心,浏览器关闭,cookie中的session_id字段就会消失的情况,因为浏览器中还有它的备份cookie,如果没有备份的cookie信息,下次客户端再次发出请求浏览就无法确定用户的身份。

上面是我整理给大家的,希望今后会对大家有帮助。

相关文章:

在ES6中详细解读let和闭包

在vue+iview+less+echarts中实战项目(详细教程)

详细解说vue编码风格

以上是在express如何使用session與cookie方法(詳細教學)的詳細內容。更多資訊請關注PHP中文網其他相關文章!

陳述:
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn