session

1.不同开发模式下的身份认证

- 前后端分离：Ajax请求接口（html，css等静态资源是不请求服务器的，只有数据是请求接口返回的。） 推荐JWT认证

- 服务端渲染（将整个页面以字符串的方式返回给浏览器）  推荐使用session

web开发  网页程序开发

2. 什么是http无状态

http协议的无状态，指的是客户端的每次http请求都是独立的。连续多个请求之间是没有直接的关系的，服务器不会主动保留每次http请求的状态

假设场景：购物网站购物流程：

1. 找到要买的东西

2. 输入账号密码登录。

3. 加入购物车（账号和密码传过去）

4. 支付。（账号和密码传过去）

3.让服务器有记忆能力之 cookie和session

cookie虽然是本地存储，但是每一次请求都会将cookie发送给服务器。

cookie相当于给每一个客户端颁发一个通行证。

4. cookie的问题

由于cookie是存储在本地浏览器中的，而且js可以直接读写cookie，所以cookie并不安全。 不建议将重要的数据保存在cookie中。

5. 保存登录登录信息的方法

- 方式一：直接将用户名与密码保存到cookie中。  非常危险，强烈不推荐使用。

- 方式二：将密码加密后保存到cookie中。 还可以设置有效期，将登录时间也加密传过去。

- 方式三：只在登录时查询一次数据库，以后不再查询。将账号按照一定的规则加密，下次访问时，将加密后的账号和未加密的账号传过去，验证加密方式。

6. session的工作原理

session是一种记录客户状态的机制。 cookie是保存在客户端中的，而session保存在服务端上。

 express中使用session

 1.安装 express-session

```js

npm i express-session

```

 2.导入包

```js

const session = require("express-session")

```

 3.开启session并配置

```js

app.use(session({

    //秘钥，本质上就是字符串，相当于密码本。

    secret:"qwer",

    resave:false,//固定写法

    saveUninitialized:true //固定写法

}))

``

 4.设置session中保存的内容

```js

router.get('/', function(req, res, next) {

    //在session保存了一个name属性，值为：天王盖地虎

  req.session.name="天王盖地虎";

  res.render('index', { title: 'Express' });

});

```

 5.读取session中的内容

```js

router.get('/', function(req, res, next) {

  res.send(`你的暗号是：${req.session.name}`);

});

```

 6.清空删除session

```js

router.get('/logout', function(req, res, next) {

  //调用该方法将session中的所有值都清空。

  req.session.destroy();

  res.send('session已清空');

});

```