前后端鉴权之session-cookie

前后端鉴权深入理解:Cookie、Session与Node.js实现
最新推荐文章于 2025-10-15 15:49:23 发布
原创 最新推荐文章于 2025-10-15 15:49:23 发布 · 1k 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#javascript

本文介绍了Cookie和Session的概念及其在前后端鉴权中的作用。Cookie是存储在客户端的键值对,用于传递信息,而Session是服务器端存储用户状态的会话对象。Session信息通常通过Cookie中的sessionId来引用。在Node.js中,可以使用express-session中间件方便地处理Cookie和Session。然而,Cookie安全性较弱,易受CSRF攻击,且跨域受限;Session虽存储在服务端,但面临分布式环境下session共享的问题。

前后端鉴权之session-cookie

前后端鉴权之session-cookie

什么是Cookie?

Cookie 就是访问者在访问网站后留下的一个信息片段。它存储在客户端(通常来说是浏览器)。你可以把cookie当作一个map,里边是键值对,每个键值对有过期时间路径脚本可否访问等描述信息;描述信息存储在客户端,客户端请求时,默认会带上cookie的名称和值,不会带描述信息,通过http请求报文header中的cookie项进行传输;服务器响应时,可以设置cookie信息,就在http响应报文的headerSet-Cookie项。

关于Cookie的详细了解请参考——一文了解cookie

什么是Session?

客户端请求服务端,服务端会为这次请求开辟一块内存空间,这个对象便是 Session 对象,存储结构为 ConcurrentHashMapSession 弥补了 HTTP 无状态特性,服务器可以利用 Session 存储客户端在同一个会话期间的一些操作记录。

sessioncookies 是有联系的,session 就是服务端在客户端 cookies 种下的session_id, 服务端保存session_id所对应的当前用户所有的状态信息。每次客户端请求服务端都带上cookies中的session_id, 服务端判断是否有具体的用户信息,如果没有就去调整登录。

Session 的存储方式

服务端只是给 cookie 一个 sessionId,而 session 的具体内容(可能包含用户信息、session 状态等),要自己存一下。存储的方式有几种:

  • Redis(推荐):内存型数据库,redis中文官方网站。以 key-value 的形式存,正合 sessionId-sessionData 的场景;且访问快。
  • 内存:直接放到变量里。一旦服务重启就没了
  • 数据库:普通数据库。性能不高。

node.js 下的 session 处理

服务端要实现对 cookiesession 的存取,实现起来要做的事还是很多的。在npm中,已经有封装好的中间件,比如 express-session - npm。它主要实现了:

  • 封装了对cookie的读写操作,并提供配置项配置字段加密方式过期时间等。
  • 封装了对session的存取操作,并提供配置项配置**session存储方式(内存/redis)**、存储规则等。
  • req提供了session属性,控制属性的set/get并响应到cookiesession存取上,并给req.session提供了一些方法。

简单实现

// server.js
const express = require('express')
const cookieParser = require('cookie-parser')
// 自动操作 cookie
const session = require('express-session')

// 创建服务器应用程序
const app = express()

// 公开指定目录
app.use('/public/', express.static('./public/'))
app.use(cookieParser())
app.use(session({ // 配置参数
  secret: 'xiaan', // 加密口令
  resave: true, // 重新储存,每一次 session 修改的时候都会从重新存储
  saveUninitialized: false // 默认 true, 未初始化的时候需不需要存储内容
}))

//当服务器收到 get 请求 / 的时候, 执行回调处理函数
app.get('/index', (req, res) => {
  console.log(req.session)
  // 判断是否登录,如果未登录则重定向到登录
  if (req.session.name !== '夏安') return res.redirect('/login')
  res.send('我已经登录') // 中文框架会自动解析字符串编码格式
})

app.get('/login', function (req, res) {
  req.session.name = '夏安'
  res.send('请先登录')
})

app.listen(3000, () => {
  console.log("http://localhost:3000");
})

缺点

  • cookies安全性不好,攻击者可以通过获取本地cookies进行欺骗或者利用cookies进行CSRF攻击。
  • cookies在多个域名下,会存在跨域问题
  • session的信息是保存在服务端上面的,当我们node.jsstke部署多台机器的时候,需要解决共享session,所以引出来session持久化问题,所以session不支持分布式架构,无法支持横向扩展,只能通过数据库来保存会话数据实现共享。如果持久层失败会出现认证失败。

参考:

  • https://juejin.cn/post/6898630134530752520#heading-9
前后端C#终极指南:HTTP Basic、Session-Cookie、JWT、OAuth 2.0 全解析
墨夶的博客
05-15 701
在 Web 开发中,(Authentication & Authorization)是保障数据安全的核心环节。本文将通过(HTTP Basic、Session-Cookie、JWT、OAuth 2.0)的,结合和,带你彻底掌握如何构建安全可靠的前后端体系。
前后端分离使用Sa-Token(超越官方文档)
Peter Cheung的博客
07-20 6501
讲解了前后端分离框架下使用sa-token技术完成登录校验,限校验。
前后端的身份认证--cookie--session--jwt--token
m0_67402341的博客
03-06 1013
一、web开发模式 目前主流的WEB开发模式有两种,分别是: 1.基于服务端渲染的传统WEB开发模式 2.基于前后端分离的新型WEB开发模式 1.服务器渲染的web开发模式 服务器渲染的概念:服务器发送给客户端的HTML页面,是在服务器通过字符串的拼接,动态生成的,因此,客户端需要使用Ajax这样的技术额外请求页面的数据 2.服务器端渲染的优缺点 优点: 1.前端耗时少 因为服务器负责动态生成HTML内容,浏览器只需要直接渲染页面即可,尤其是移动端 更省电 2.有利于SEO 因为服务器端响应的是完整的HT
前后端的身份认证
weixin_43563864的博客
11-01 2107
一. 前后端的身份认证 1.1 Web 开发模式 目前主流的 Web 开发模式有两种,分别是: ①基于服务端渲染的传统 Web 开发模式 ②基于前后端分离的新型 Web 开发模式 1. 服务端渲染的 Web 开发模式 服务端渲染的概念:服务器发送给客户端的 HTML 页面,是在服务器通过字符串的拼接,动态生成的。因此,客户端不需要使用 Ajax 这样的技术额外请求页面的数据。代码示例如下: app.get('/index.html',(req,res)=>{ // 1. 要渲染的数据 const
前后端分离项目中 Token 与 Session 结合使用的实际案例解析
最新发布
xxxxxxllllllshi的博客
10-15 929
前后端分离项目中的Token与Session结合实践 摘要:本文探讨了前后端分离架构中Token与Session结合使用的三种典型案例。在电商平台场景中,采用JWT+Redis Session方案,通过JWT实现无状态认证,同时利用Redis管理Token有效性,解决了JWT无法主动失效的问题。文章详细展示了Spring Boot实现代码,包括登录接口、登出接口和拦截器设计,重点演示了如何生成带状态的JWT、通过Redis管理会话状态以及验证流程。该方案兼顾了无状态扩展性和安全管理的需求,适用于需要高并发和
session/cookie
weixin_30847865的博客
03-31 199
cookie cookie一个非常具体的东西,指的就是浏览器里面能永久存储的一种数据,仅仅是浏览器实现的一种数据存储功能。 cookie由服务器生成,发送给浏览器,浏览器把cookie以kv形式保存到某个目录下的文本文件内,下一次请求同一网站时会把该cookie发送给服务器。由于cookie存在客户端上的,所以浏览器加入了一些限制确保cookie不会被恶意使用,同时不会占据太多磁盘...
sessioncookie的区别
weixin_30878501的博客
07-02 134
我所知道的有以下区别: 1、session存在服务器,客户端不知道其中的信息;cookie存在客户端,服务器能够知道其中的信息。 2、session中保存的是对象,cookie中保存的是字符串。 3、session不能区分路径,同一个用户在访问一个网站期间,所有的session在任何一个地方都可以访问到。而cookie中如果设置了路径参数,那...
前后端Session-Cookie
谢智超的博客
12-28 497
Session-Cookie 认证
前后端方式总结:HTTP Basic, Session-Cookie, Token, OAuth
"这篇文章除了介绍前后端常见的方式外,还涉及了HTTP Basic Authentication、session-cookie、token验证以及OAuth四种方法的原理和流程。文章旨在总结和对比不同的策略,特别是在重构项目时选择合适的...
Session&Cookie
yuqu1028的博客
11-22 1279
会话:用户打开浏览器进行的一系列操作直至关闭浏览器的过程看作是一次会话HTTP协议是无状态的,不能实现跟踪对话。比如进入一个网站,每次操作的请求之间相互独立,无法相互联系。也就是说你每次请求过后得到的服务器响应或者数据无法被保存。当用户关闭浏览器后,对应的Cookie标识也会随即销毁,但此时服务器端session并未失效,只是由于cookie销毁后无法继续跟踪用户会话。
session-Cookie机制
都枯槐的博客
07-25 260
网景公司发明了cookie技术,为了解决浏览器端数据存储问题。 第一次request请求时,会把此域名相关的Cookie发往服务器端,服务器端也可以使用response中的set-cookie来设置cookie值。 动态网页技术,也需要直到用户身份,但是HTTP是无状态协议,无法知道。必须提出一种技术,让客户端提交的信息可以表明身份,而且不能更改。这就是session技术。 session开启后,...
轻松解决Session-Cookie (含坑)附代码
小陈的博客
02-13 923
当浏览器访问服务器并发送第一次请求时,服务器端会创建一个session对象,生成一个类似于 key,value的键值对,然后将key(cookie)返回到浏览器(客户)端,浏览器下次再访问时,携带key(cookie), 找到对应的session(value)。客户的信息都保存在session中最近还整理一份JavaScript与ES的笔记,一共25个重要的知识点,对每个知识点都进行了讲解和分析。能帮你快速掌握JavaScript与ES的相关知识,提升工作效率。
sessioncookie
m0_64616651的博客
02-22 898
sessioncookie
SessionCookie
LY3054404567的博客
03-03 331
无状态管理 例: Http协议就是一个无状态的协议 HTTP协议本身是无状态的,这与HTTP协议本来的目的是相符的,客户端只需要简单的向服务器请求下载某些文件,无论是客户端还是服务器都没有必要纪录彼此过去的行为,每一次请求之间都是独立的,就会在每一次创建一个新的; 说白了就是用户每一次在操作浏览器的时候的状态(一般普通的请求都是分为三步): 1、客户端发送请求给服务器 2、服务器处理该请求 3、服务器将处理结果响应该客户端。 一旦这基本的过程走完,之后该客户端再次向该服务区发送请求后,但是服务器端并不
全网最全的Cookie, Session, Token详解,一定让你大饱眼福
MXB_1220的博客
04-17 3260
在Web开发中,是保护用户数据和系统安全的重要手段之一。常见的方式包括CookieSession和Token三种,下面我将详细介绍这三种方式,并且探讨它们的优缺点。B站终于有人讲清楚了什么是CookieSession、Token_哔哩哔哩_bilibili以上介绍了三种常见的方式,它们各有优缺点。Cookie简单易用,但安全性和可伪造性较差;Session相对安全可靠,但对服务器的负担较大;Token可以跨平台支持,扩展性好,但需要考虑密钥的安全性。
koa2实现session-cookie和token的
weixin_33841503的博客
05-15 1062
前后端一直是web开发的常见问题,今天就用一个demo来总结下常见的session和token方式。session我们用代码来说明。session-cookie关键的一点是在服务端保存session,我们这边用redis进行保存,然后给客户端发送cookie。当客户端访问服务端时,携带cookie,而这cookie就是redis保存session的key,能拿到对应的session...
单体项目中前后端分离中的cookiesession
qq_40263927的博客
06-19 717
前端界面效果如下:
sessioncookie详解
Gong_yz的博客
03-01 3596
为什么要使用Cookie?解决了什么问题 ? 1.web程序是使用HTTP协议传输的,而HTTP协议是无状态的协议,对于事务处理没有记忆能力。缺少状态意味着如果后续处理需要前面的信息,则它必须重传,这样可能导致每次连接传送的数据量增大。另一方面,在服务器不需要先前的信息时它的应答就较快。cookie的出现就是为了解决这个问题。 2.第一次登录后服务器返回一些数据(cookie)给浏览器,然后浏览器保存在本地,当该用户发送第二次请求的时候,就会自动的把上次请求存储的cookie数据自动的携带给服务器
接口cookiesession和token
Monster‘s blog
01-22 3168
一、 1、是指验证用户是否拥有访问系统的------限 二、为什么会有cookiesession和token 1、http是无状态协议 什么是无状态?就是说这一次请求和上一次请求是没有任何关系的,无法共享信息。好处是速度快。 2、互联网的兴起 以前Web基本上就是文档的浏览而已,作为服务器,不需要记录谁在某一段时间里都浏览了什么文档,每次请求都是一个新的HTTP协议,给予响应即...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

夏安   

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值