無狀態(tài)的http
我們都知道http的請(qǐng)求和響應(yīng)式相互獨(dú)立的晤揣,服務(wù)器無法識(shí)別兩條http請(qǐng)求是否是同一個(gè)用戶發(fā)送的疑故。也就是說服務(wù)器端并沒有記錄通信狀態(tài)的能力踱启。我們通常使用cookie和session來確定會(huì)話雙方的身份隅要。
cookie
cookie 是從服務(wù)器端發(fā)送的蝴罪,服務(wù)器給不同的用戶發(fā)送不同的標(biāo)識(shí),這個(gè)標(biāo)識(shí)表示用戶的身份步清,服務(wù)器通過客戶端發(fā)送的這個(gè)標(biāo)識(shí)來識(shí)別用戶的身份要门,從而查詢服務(wù)器中的該用戶的相關(guān)數(shù)據(jù),然后發(fā)送到該用戶廓啊。
安裝express提供的cookie-parser中間件:
npm i -S cookie-parser
在我們使用的項(xiàng)目頁面模塊中引入 cookie-parser 插件欢搜,然后實(shí)例化它,如下:
var cookieParser = require('cookie-parser');
var cp = cookieParser(secret, options);
它有兩個(gè)參數(shù)谴轮,第一個(gè)參數(shù)secret炒瘟,用它可以對(duì)cookie進(jìn)行簽名,也就是我們常說的cookie加密第步。它可以是字符串也可以是數(shù)組疮装,如果熟悉加密原理的同學(xué)應(yīng)該知道,這個(gè)字符串就是服務(wù)器所擁有的密文粘都,第二個(gè)參數(shù)options包含如下可選參數(shù):
path:指定 cookie 影響到的路徑
expires: 指定時(shí)間格式
maxAge:指定 cookie 什么時(shí)候過期
secure:當(dāng) secure 值為 true 時(shí)廓推,在 HTTPS 中才有效;反之翩隧,cookie 在 HTTP 中是有效樊展。
httpOnly:瀏覽器不允許腳本操作 document.cookie 去更改 cookie。設(shè)置為true可以避免被 xss 攻擊拿到 cookie
參考cookie-parser中的例子,實(shí)現(xiàn)一個(gè)記住訪問路徑的demo专缠,代碼如下:
var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 使用 cookieParser 中間件;
app.use(cookieParser());
// 如果請(qǐng)求中的 cookie 存在 isFirst
// 否則雷酪,設(shè)置 cookie 字段 isFirst, 并設(shè)置過期時(shí)間為10秒
app.get('/', function(req, res) {
if (req.cookies.isFirst) {
res.send("再次歡迎訪問");
console.log(req.cookies)
} else {
res.cookie('isFirst', 1, { maxAge: 60 * 1000});
res.send("歡迎第一次訪問");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
cookie-parser 還可以對(duì)Cookie數(shù)據(jù)進(jìn)行加密,也就是我們所說的signedCookies藤肢。
signedCookies
實(shí)現(xiàn)代碼如下:
var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 使用 cookieParser 中間件;
app.use(cookieParser('my_cookie_secret'));
// cookie
app.get('/', function(req, res) {
if (req.signedCookies.isFirst) {
res.send("歡迎再一次訪問");
console.log(req.signedCookies)
} else {
res.cookie('isFirst', 1, { maxAge: 60 * 1000, signed: true});
res.send("歡迎第一次訪問");
}
});
從上面的代碼中我們知道cooke-parser的第一個(gè)參數(shù)可以指定服務(wù)器端的提供的加密密匙太闺,然后我們使用options中的signed配置項(xiàng)可實(shí)現(xiàn)加密糯景。雖然這樣相對(duì)安全嘁圈,但是客戶端的Cookie有局限性,在客戶端發(fā)送請(qǐng)求時(shí)會(huì)增加請(qǐng)求頭部的數(shù)據(jù)量蟀淮,導(dǎo)致請(qǐng)求速度變慢最住;另外它不能實(shí)現(xiàn)數(shù)據(jù)的共享。
session
express-session 是expressjs的一個(gè)中間件用來創(chuàng)建session怠惶。服務(wù)器端生成了一個(gè)sessionn-id涨缚,客戶端使用了cookie保存了session-id這個(gè)加密的請(qǐng)求信息,而將用戶請(qǐng)求的數(shù)據(jù)保存在服務(wù)器端策治,但是它也可以實(shí)現(xiàn)將用戶的數(shù)據(jù)加密后保存在客戶端脓魏。
session記錄的是客戶端與服務(wù)端之間的會(huì)話狀態(tài),該狀態(tài)用來確定客戶端的身份通惫。
express-session支持session存放位置
可以存放在cookie中茂翔,也可以存放在內(nèi)存中,或者是redis履腋、mongodb等第三方服務(wù)器中珊燎。
session默認(rèn)存放在內(nèi)存中,存放在cookie中安全性太低遵湖,存放在非redis數(shù)據(jù)庫中查詢速度太慢悔政,一般項(xiàng)目開發(fā)中都是存放在redis中(緩存數(shù)據(jù)庫)。
在express提供的express-session中間件安裝命令:
npm i -S express-session
在我們使用的項(xiàng)目頁面模塊中引入 express-session 插件延旧,然后實(shí)例化它谋国,如下:
var session = require('express-session');
var se = session(options);
session()的參數(shù)options配置項(xiàng)主要有:
name: 設(shè)置cookie中,保存session的字段名稱迁沫,默認(rèn)為connect.sid
store: session的存儲(chǔ)方式烹卒,默認(rèn)為存放在內(nèi)存中,我們可以自定義redis等
genid: 生成一個(gè)新的session_id時(shí)弯洗,默認(rèn)為使用uid2這個(gè)npm包
rolling: 每個(gè)請(qǐng)求都重新設(shè)置一個(gè)cookie旅急,默認(rèn)為false
resave: 即使session沒有被修改,也保存session值牡整,默認(rèn)為true
saveUninitialized:強(qiáng)制未初始化的session保存到數(shù)據(jù)庫
secret: 通過設(shè)置的secret字符串藐吮,來計(jì)算hash值并放在cookie中,使產(chǎn)生的signedCookie防篡改
cookie : 設(shè)置存放sessionid的cookie的相關(guān)選項(xiàng)
那么,使用它我們都能做些什么呢谣辞?下面我們將一一介紹迫摔。
cookie session
cookie session 使用很簡(jiǎn)單就是我們?cè)谂渲庙?xiàng)中使用cookie配置項(xiàng),就可以將session數(shù)據(jù)保存在cookie中,它和signedCookies類似都是將數(shù)據(jù)保存在客戶端泥从,而且都對(duì)數(shù)據(jù)進(jìn)行了加密句占,但是加密后的請(qǐng)求得到的數(shù)據(jù)結(jié)構(gòu)不一樣。
cooke session 的結(jié)構(gòu)如下:
Session {
cookie:
{ path: '/',
_expires: 2018-01-29T17:58:49.950Z,
originalMaxAge: 60000,
httpOnly: true },
isFirst: 1 }
signedCookie 結(jié)構(gòu)如下:
{ isFirst: '1' }
實(shí)現(xiàn)cookie session代碼如下:
var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();
// session
app.use(session({
name: 'session-name', // 這里是cookie的name躯嫉,默認(rèn)是connect.sid
secret: 'my_session_secret', // 建議使用 128 個(gè)字符的隨機(jī)字符串
resave: true,
saveUninitialized: false,
cookie: { maxAge: 60 * 1000, httpOnly: true }
}));
// route
app.get('/', function(req, res, next) {
if(req.session.isFirst || req.cookies.isFirst) {
res.send("歡迎再一次訪問");
} else {
req.session.isFirst = 1;
res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
res.send("歡迎第一次訪問纱烘。");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
signed-cookie vs cookie session
- signedCookies 信息可見但不可修改,cookie session不可見也不可修改
- signedCookies 信息長(zhǎng)期保存客戶端祈餐,后者客戶端關(guān)閉擂啥,信息消失
針對(duì)Cooke session增加了客戶端請(qǐng)求的數(shù)據(jù)規(guī)模,我們一般這樣使用帆阳,數(shù)據(jù)庫存儲(chǔ)session哺壶。
數(shù)據(jù)庫保存session
用數(shù)據(jù)庫保存session,我們一般使用redis蜒谤,因?yàn)樗蔷彺鏀?shù)據(jù)庫山宾,查詢速度相較于非緩存的速度更快。
express-session 的實(shí)例代碼如下:
var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();
// session
app.use(session({
name: 'session-name', // 這里是cookie的name鳍徽,默認(rèn)是connect.sid
secret: 'my_session_secret', // 建議使用 128 個(gè)字符的隨機(jī)字符串
resave: true,
saveUninitialized: false,
store: new redisStore({
host: '127.0.0.1',
port: '6379',
db: 0,
pass: '',
})
}));
// route
app.get('/', function(req, res) {
if (req.session.isFirst) {
res.send("歡迎再一次訪問资锰。");
console.log(req.session)
} else {
req.session.isFirst = 1;
res.send("歡迎第一次訪問。");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
但有時(shí)我們也使用非redis數(shù)據(jù)庫保存session旬盯,這時(shí)我們就需要對(duì)項(xiàng)目結(jié)構(gòu)有深刻的認(rèn)識(shí)和理解台妆;否則,使用后反而會(huì)適得其反胖翰。
另外接剩,我們要注意使用數(shù)據(jù)庫保存session數(shù)據(jù),在瀏覽器端的session-id會(huì)隨著瀏覽器的關(guān)閉而消失萨咳,下次打開瀏覽器發(fā)送請(qǐng)求時(shí)懊缺,服務(wù)器依然不能識(shí)別請(qǐng)求者的身份。
cookie session 雖然能解決這個(gè)問題培他,但是它本身存在著安全風(fēng)險(xiǎn)鹃两,其實(shí)cookie session 和 signedCookies都面臨xss攻擊。
其實(shí)舀凛,使用signedCookies和session的結(jié)合會(huì)在一定程度上降低這樣的風(fēng)險(xiǎn)俊扳。
signedCookies(cookies) 和 session的結(jié)合
在開發(fā)中,我們往往需要signedCookies的長(zhǎng)期保存特性猛遍,又需要session的不可見不可修改的特性馋记。
var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();
// 使用 cookieParser 中間件;
app.use(cookieParser());
// session
app.use(session({
name: 'session-name', // 這里是cookie的name号坡,默認(rèn)是connect.sid
secret: 'my_session_secret', // 建議使用 128 個(gè)字符的隨機(jī)字符串
resave: true,
saveUninitialized: false,
// cookie: { maxAge: 60 * 1000, httpOnly: true },
store: new redisStore({
host: '127.0.0.1',
port: '6379',
db: 0,
pass: '',
})
}));
app.get('/', function(req, res, next) {
if(req.session.isFirst || req.cookies.isFirst) {
res.send("歡迎再一次訪問");
} else {
req.session.isFirst = 1;
res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
res.send("歡迎第一次訪問。");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
這樣我們將session保存在redis中的信息梯醒,保存在了session_id所標(biāo)示的客戶端cooke中一份宽堆,這樣我們就不用擔(dān)心,瀏覽器關(guān)閉茸习,cookie中的session_id字段就會(huì)消失的情況畜隶,因?yàn)闉g覽器中還有它的備份cookie,如果沒有備份的cookie信息号胚,下次客戶端再次發(fā)出請(qǐng)求瀏覽就無法確定用戶的身份籽慢。
