中文字幕av专区_日韩电影在线播放_精品国产精品久久一区免费式_av在线免费观看网站

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

express使用session與cookie的案例

發布時間:2021-02-19 10:16:59 來源:億速云 閱讀:212 作者:小新 欄目:web開發

小編給大家分享一下express使用session與cookie的案例,相信大部分人都還不怎么了解,因此分享這篇文章給大家參考一下,希望大家閱讀完這篇文章后大有收獲,下面讓我們一起去了解一下吧!

無狀態的http

我們都知道http的請求和響應式相互獨立的,服務器無法識別兩條http請求是否是同一個用戶發送的。也就是說服務器端并沒有記錄通信狀態的能力。我們通常使用cookie和session來確定會話雙方的身份。

cookie

cookie 是從服務器端發送的,服務器給不同的用戶發送不同的標識,這個標識表示用戶的身份,服務器通過客戶端發送的這個標識來識別用戶的身份,從而查詢服務器中的該用戶的相關數據,然后發送到該用戶。

安裝express提供的cookie-parser中間件:

npm i -S cookie-parser

在我們使用的項目頁面模塊中引入 cookie-parser 插件,然后實例化它,如下:

var cookieParser = require('cookie-parser');
var cp = cookieParser(secret, options);

它有兩個參數,第一個參數secret,用它可以對cookie進行簽名,也就是我們常說的cookie加密。它可以是字符串也可以是數組,如果熟悉加密原理的同學應該知道,這個字符串就是服務器所擁有的密文,第二個參數options包含如下可選參數:

  1. path:指定 cookie 影響到的路徑

  2. expires: 指定時間格式

  3. maxAge:指定 cookie 什么時候過期

  4. secure:當 secure 值為 true 時,在 HTTPS 中才有效;反之,cookie 在 HTTP 中是有效。

  5. httpOnly:瀏覽器不允許腳本操作 document.cookie 去更改 cookie。設置為true可以避免被 xss 攻擊拿到 cookie

參考cookie-parser中的例子,實現一個記住訪問路徑的demo,代碼如下:

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();

// 使用 cookieParser 中間件;
app.use(cookieParser());

// 如果請求中的 cookie 存在 isFirst
// 否則,設置 cookie 字段 isFirst, 并設置過期時間為10秒
app.get('/', function(req, res) {
  if (req.cookies.isFirst) {
    res.send("再次歡迎訪問");
    console.log(req.cookies)
  } else {
    res.cookie('isFirst', 1, { maxAge: 60 * 1000});
    res.send("歡迎第一次訪問");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

cookie-parser 還可以對Cookie數據進行加密,也就是我們所說的signedCookies。

signedCookies

實現代碼如下:

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();

// 使用 cookieParser 中間件;
app.use(cookieParser('my_cookie_secret'));

// cookie
app.get('/', function(req, res) {
  if (req.signedCookies.isFirst) {
    res.send("歡迎再一次訪問");
    console.log(req.signedCookies)
  } else {
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, signed: true});
    res.send("歡迎第一次訪問");
  }
});

從上面的代碼中我們知道cooke-parser的第一個參數可以指定服務器端的提供的加密密匙,然后我們使用options中的signed配置項可實現加密。雖然這樣相對安全,但是客戶端的Cookie有局限性,在客戶端發送請求時會增加請求頭部的數據量,導致請求速度變慢;另外它不能實現數據的共享。

session

express-session 是expressjs的一個中間件用來創建session。服務器端生成了一個sessionn-id,客戶端使用了cookie保存了session-id這個加密的請求信息,而將用戶請求的數據保存在服務器端,但是它也可以實現將用戶的數據加密后保存在客戶端。

session記錄的是客戶端與服務端之間的會話狀態,該狀態用來確定客戶端的身份。

express-session支持session存放位置

可以存放在cookie中,也可以存放在內存中,或者是redismongodb等第三方服務器中。

session默認存放在內存中,存放在cookie中安全性太低,存放在非redis數據庫中查詢速度太慢,一般項目開發中都是存放在redis中(緩存數據庫)。

在express提供的express-session中間件安裝命令:

npm i -S express-session

在我們使用的項目頁面模塊中引入 express-session 插件,然后實例化它,如下:

var session = require('express-session');
var se = session(options);

session()的參數options配置項主要有:

  1. name: 設置cookie中,保存session的字段名稱,默認為connect.sid

  2. store: session的存儲方式,默認為存放在內存中,我們可以自定義redis等

  3. genid: 生成一個新的session_id時,默認為使用uid2這個npm包

  4. rolling: 每個請求都重新設置一個cookie,默認為false

  5. resave: 即使session沒有被修改,也保存session值,默認為true

  6. saveUninitialized:強制未初始化的session保存到數據庫

  7. secret: 通過設置的secret字符串,來計算hash值并放在cookie中,使產生的signedCookie防篡改

  8. cookie : 設置存放sessionid的cookie的相關選項

那么,使用它我們都能做些什么呢?下面我們將一一介紹。

cookie session

cookie session 使用很簡單就是我們在配置項中使用cookie配置項,就可以將session數據保存在cookie中,它和signedCookies類似都是將數據保存在客戶端,而且都對數據進行了加密,但是加密后的請求得到的數據結構不一樣。

cooke session 的結構如下:

Session {
 cookie:
  { path: '/',
   _expires: 2018-01-29T17:58:49.950Z,
   originalMaxAge: 60000,
   httpOnly: true },
 isFirst: 1 }

signedCookie 結構如下:

{ isFirst: '1' }

實現cookie session代碼如下:

var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// session
app.use(session({
  name: 'session-name', // 這里是cookie的name,默認是connect.sid
  secret: 'my_session_secret', // 建議使用 128 個字符的隨機字符串
  resave: true,
  saveUninitialized: false,
  cookie: { maxAge: 60 * 1000, httpOnly: true }
}));

// route
app.get('/', function(req, res, next) {
  if(req.session.isFirst || req.cookies.isFirst) {
    res.send("歡迎再一次訪問");
  } else {
    req.session.isFirst = 1;
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
    res.send("歡迎第一次訪問。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

signed-cookie vs cookie session

  1. signedCookies 信息可見但不可修改,cookie session不可見也不可修改

  2. signedCookies 信息長期保存客戶端,后者客戶端關閉,信息消失

針對Cooke session增加了客戶端請求的數據規模,我們一般這樣使用,數據庫存儲session。

數據庫保存session

用數據庫保存session,我們一般使用redis,因為它是緩存數據庫,查詢速度相較于非緩存的速度更快。

express-session 的實例代碼如下:

var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// session
app.use(session({
  name: 'session-name', // 這里是cookie的name,默認是connect.sid
  secret: 'my_session_secret', // 建議使用 128 個字符的隨機字符串
  resave: true,
  saveUninitialized: false,
  store: new redisStore({
    host: '127.0.0.1',
    port: '6379',
    db: 0,
    pass: '',
  })
}));

// route
app.get('/', function(req, res) {
  if (req.session.isFirst) {
    res.send("歡迎再一次訪問。");
    console.log(req.session)
  } else {
    req.session.isFirst = 1;
    res.send("歡迎第一次訪問。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

但有時我們也使用非redis數據庫保存session,這時我們就需要對項目結構有深刻的認識和理解;否則,使用后反而會適得其反。

另外,我們要注意使用數據庫保存session數據,在瀏覽器端的session-id會隨著瀏覽器的關閉而消失,下次打開瀏覽器發送請求時,服務器依然不能識別請求者的身份。

cookie session 雖然能解決這個問題,但是它本身存在著安全風險,其實cookie session 和 signedCookies都面臨xss攻擊。

其實,使用signedCookies和session的結合會在一定程度上降低這樣的風險。

signedCookies(cookies) 和 session的結合

在開發中,我們往往需要signedCookies的長期保存特性,又需要session的不可見不可修改的特性。

var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();

// 使用 cookieParser 中間件;
app.use(cookieParser());

// session
app.use(session({
  name: 'session-name', // 這里是cookie的name,默認是connect.sid
  secret: 'my_session_secret', // 建議使用 128 個字符的隨機字符串
  resave: true,
  saveUninitialized: false,
  // cookie: { maxAge: 60 * 1000, httpOnly: true },
  store: new redisStore({
    host: '127.0.0.1',
    port: '6379',
    db: 0,
    pass: '',
  })
}));

app.get('/', function(req, res, next) {
  if(req.session.isFirst || req.cookies.isFirst) {
    res.send("歡迎再一次訪問");
  } else {
    req.session.isFirst = 1;
    res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
    res.send("歡迎第一次訪問。");
  }
});

app.listen(3030, function() {
  console.log('express start on: ' + 3030)
});

這樣我們將session保存在redis中的信息,保存在了session_id所標示的客戶端cooke中一份,這樣我們就不用擔心,瀏覽器關閉,cookie中的session_id字段就會消失的情況,因為瀏覽器中還有它的備份cookie,如果沒有備份的cookie信息,下次客戶端再次發出請求瀏覽就無法確定用戶的身份。

以上是“express使用session與cookie的案例”這篇文章的所有內容,感謝各位的閱讀!相信大家都有了一定的了解,希望分享的內容對大家有所幫助,如果還想學習更多知識,歡迎關注億速云行業資訊頻道!

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

马山县| 宁安市| 封开县| 武城县| 鄱阳县| 东乌珠穆沁旗| 大城县| 郁南县| 通辽市| 来安县| 新蔡县| 丹寨县| 湾仔区| 东港市| 宜兴市| 龙岩市| 浦东新区| 哈尔滨市| 土默特右旗| 郎溪县| 乌拉特后旗| 克东县| 巴楚县| 永仁县| 宁陵县| 松桃| 广安市| 永安市| 哈密市| 弋阳县| 双峰县| 玛纳斯县| 庐江县| 兰州市| 疏附县| 贵州省| 略阳县| 南安市| 衡阳市| 湖北省| 申扎县|