node学习-cookie和session

最新推荐文章于 2020-06-07 15:59:28 发布
最新推荐文章于 2020-06-07 15:59:28 发布
阅读量149 收藏
点赞数
分类专栏: node
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_26443535/article/details/80581587
版权

cookie

cookie的处理
  • 在web应用中,多个请求之间共享“用户会话”是非常必要的。但HTTP协议是无状态的。那这时cookie就出现了。那cookie又是如何处理的呢?
  1. 服务端向客户端发送cookie
  2. 客户端的浏览器把Cookie保存
  3. 然后在每次请求浏览器都会将Cookie发送到服务端
cookie使用的注意事项:
  1. 可能被客户端篡改,使用前验证其合法性
  2. 不要存储敏感数据,比如用户密码,账户余额等
  3. 使用httponly保证安全
  4. 尽量减少cookie的体积,这是由于浏览器对于每个域名所包含的cookie数和cookie的总大小有一定的限制
向服务端发送cookie
  • 在HTML文档被发送之前,Web服务器通过传送HTTP包头中的Set-Cookie消息把一个cookie发送到用户的浏览器中,如下所示:
    Set-Cookie:name=zhangjie;Expires=Fri, 01 Jun 2018 07:21:59 GMT
cookie设置中常用属性:
  • name=value:键值对,可以设置要保存的Key/Value,注意这里的那么不能和其它的属性项的名字一样
  • Expires:过期时间(单位ms),在设置的某个时间点后该Cookie就会失效,例如 Expires=Fri, 01 Jun 2018 07:41:15 GMT,在这个时间点后,cookie就会失效
  • Max-Age:最大失效时间(单位s),设置在多长时间之后失效
  • Secure: 设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器端进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。同上,在客户端我们也无法在document.Cookie找到被设置了Secure=true的Cookie键值对。Secure属性是防止信息在传递的过程中被监听捕获后信息泄漏,HttpOnly属性的目的是防止程序获取Cookie后进行攻击。我们可以把Secure=true看成比HttpOnly更严格的访问控制
  • path: 指定可访问Cookie的目录。例如:“userId=320; path=/shop”;就表示当前Cookie仅能在shop路径下使用
  • HttpOnly: 这是微软对Cookie做的扩展。如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击
  • domain: 指定可访问Cookie的主机名.主机名是指同一个域下的不同主机,例如:www.google.com和gmail.google.com就是两个不同的主机名。默认情况下,一个主机中创建的Cookie在另一个主机下是不能被访问的,但可以通过domain参数来实现对其的控制,其语法格式为:“name=value; domain=CookieDomain”;以google为例,要实现跨主机访问,可以写为:“name=value;domain=.google.com”;这样,所有google.com下的主机都可以访问该Cookie

如下:如果用户为第一次访问,那么输出“欢迎首次访问”,此时服务端已向客户端发送cookie,并且客户端已将cookie进行保存,当再次访问时,cookie将会放置在请求头中发送到服务端,此时输出“欢迎再次访问”

let http = require('http');
let url = require('url');
let querystring = require('querystring');

http.createServer((req,res)=>{
    let urlObj = url.parse(req.url,true);
    let pathname = urlObj.pathname;
    if (pathname === '/cookie'){
        res.setHeader('Content-Type','text/plain;charset=utf-8')
        let cookie = req.headers.cookie || {};
        let cookieObj = querystring.parse(cookie,';'); // 将请求头中的cookie信息转为对象格式
        if (cookieObj.isVisited){   // 如果存在cookie那么视为再次访问
            res.end('欢迎再次访问');
        }else{     // 如果不存在,那么向客户端发送cookie信息
            res.setHeader('Set-Cookie','isVisited=1;Max-Age=30');
            res.end('欢迎首次访问');
        }
    }
}).listen('8090');

下面使用cookie-parser重写上面的demo

	let express = require('express');
	let cookieParser = require('cookie-parser');
	
	let app = express();
	
	app.use(cookieParser());
	
	app.get('/cookie',(req,res)=>{
	    let cookies = req.cookies||{};
	    if (cookies.isVisited){
	        res.send('欢迎再次访问');
	    }else {
	        res.cookie('isVisited','1',{maxAge:10*1000});
	        res.send('欢迎首次访问');
	    }
	});
	
	app.listen('8090');

session

session介绍

cookie 虽然很方便,但是使用 cookie 有一个很大的弊端,cookie 中的所有数据在客户端就可以被修改,数据非常容易被伪造,那么一些重要的数据就不能存放在 cookie 中了,而且如果 cookie 中数据字段太多会影响传输效率。为了解决这些问题,就产生了 session,session 中的数据是保留在服务器端的,那什么是session呢?

  • session是一种记录客户端状态的机制,不同的是cookie保存在客户端浏览器中,而session保存在服务器上。
  • 客户端浏览器访问服务器的时候,服务器把客户端信息以某种形式记录在服务器上,这就是session。客户端浏览器再次访问时,只需要从该session中查找该客户的状态就可以了。
  • 如果说cookie机制是通过检查客户身上的“通行证”来确定客户身份的话,那么session机制就是通过检查服务器上的“客户明细表”来确认客户身份
  • session相当于在服务器上建立的一份客户档案,客户来访的时候只需要查询客户档案表就可以了
session处理
  1. 在服务器端生成全局唯一标识符(session_id)
  2. 在服务器内存里开辟此session_id对应的数据存储空间
  3. 将session_id作为全局唯一标识符通过cookie发送到客户端
  4. 以后客户端再次访问服务器时,会把session_id通过请求头中的cookie发送到服务端
  5. 服务器再通过session_id把此标识符在服务器端的数据取出

如下demo所示:我们创建了一个会员的信息,如果当前会员不存在,那么创建会员信息,并将会员id即session_id返回,如果会员存在,那么通过session_id获取会员的详细信息:

let http = require('http');
let url = require('url');
let queryString = require('querystring');

let SESSION_KEY = 'session_key';
let session = {};

http.createServer(function(req,res){
    let urlObj = url.parse(req.url,true);
    let pathname = urlObj.pathname;
    let membershipPoint = {point:100};
    if (pathname === '/'){
        let cookie = req.headers.cookie || {};
        let cookieObj = queryString.parse(cookie,';');
        if (cookieObj[SESSION_KEY]){     // 如果当前session_key存在,那么为老会员,并通过session_id获取其会员的会员详细信息
            let curSessionObj = session[cookieObj[SESSION_KEY]];
            res.setHeader('Content-Type','text/html;charset=utf-8');
            if (curSessionObj.point === 0 || curSessionObj.point < 0){
                res.end('欢迎您,老朋友,您的余额已使用完毕');
            }else {
                curSessionObj.point -= 10;
                res.end('欢迎您,老朋友,再次光临,余额为'+curSessionObj.point);
            }
        }else{     // 如果当前session_key不存在,那么为新会员,并建立其会员卡,余额为100,并将会员id即session_id返回给客户端
            let session_id = Date.now()+Math.random();
            session[session_id] = membershipPoint;
            res.setHeader('Set-Cookie',SESSION_KEY+'='+session_id);
            res.setHeader('Content-Type','text/html;charset=utf-8');
            res.end('欢迎您,新朋友,送您会员卡,余额为'+session[session_id].point);
        }
    }

}).listen('8090');
express-session

express中ssession的操作需要使用express-session这个模块,主要方法是session(options),其中option中包含可选参数,如下:

  • name:设置cookie中,保存session的字段名称,默认为:connect.sid
  • store:session的存储方式,默认存放在内存中, 也可以使用 redis,mongodb 等。express 生态中都有相应模块的支持
  • secret: 通过设置的 secret 字符串,来计算 hash 值并放在 cookie 中,使产生的 signedCookie 防篡改
  • cookie: 设置存放 session id 的 cookie 的相关选项,默认为
    • (default: { path: ‘/’, httpOnly: true, secure: false, maxAge: null })
  • genid: 产生一个新的 session_id 时,所使用的函数, 默认使用 uid2 这个 npm 包
  • rolling: 每个请求都重新设置一个 cookie,默认为 false
  • resave: 即使 session 没有被修改,也保存 session 值,默认为 true
  • saveUninitialized:保存新创建但未修改的session

使用express-session重写上面的demo,如下:

let express = require('express');
let session = require('express-session');
let app = express();

let SESSION_KEY = 'session_key';

app.use(session({
    name:SESSION_KEY,
    resave:true,    // 每次请求结束,都要重新保存,不管有没有修改
    saveUninitialized:true, //保存未修改过的session
    secret:'somesecrettoken'    // 加密的密钥
}));

app.get('/session',(req,res)=>{
    if (req.session.point != undefined){
        if (req.session.point === 0 || req.session.point < 0){
            res.send('欢迎您,老朋友,您的余额已使用完毕');
        }else {
            req.session.point -= 10;
            res.send('欢迎您,老朋友,再次光临,余额为'+req.session.point);
        }
    }else{
        req.session.point = 100;
        res.send('欢迎您,新朋友,送您会员卡,余额为'+req.session.point);
    }
});

app.listen(8090);

cookie签名:

cookie 虽然很方便,但是使用 cookie 有一个很大的弊端,cookie 中的所有数据在客户端就可以被修改,数据非常容易被伪造,那么为了数据不被篡改,我们对cookie进行签名, 签名的作用是让服务端知道cookie有没有被修改

const express = require('express');
const cookieParser = require('cookie-parser');

//随机生成的字符串
var signStr = 'xadsafeowirw';

var app = express();

//需要将密匙传给cookieParser, 在接收数据的时候,进行解析。
app.use(cookieParser(signStr));

app.use('/', function (req, res) {
    //将密匙字符串赋值给req.secret,可以省略,在上面cookieparser()时会自动对secret赋值
    req.secret=signStr;

    //返回给浏览器的cookie, 这就是传说中的种cookie了
    //如果需要开启签名,第三个参数对象signed 设置为true.
    //由于cookie的大小限制4k,而签名后的cookie体积会增加,所以重要的cookie才签名
    res.cookie('cookiename', 'liwen', {signed: true, maxAge: 30*1000})

    //有没有签名的cookie,获取方式不一样。
    console.log('无签名', req.cookies);    // 无签名的cookie获取方式
    console.log('带签名',req.signedCookies);  // 带签名的cookie获取方式
    res.send('ok')
})
app.listen(8090);

个人学习笔记,如有错误或不准确之处,请大神指出,感谢~

文档参考:
ZjSj0812
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Nodecookiesession
LIRUN的博客
12-04 430
HTTP协议的无状态性 1、HTTP协议的通信模型:基于【请求 - 处理 - 响应】的! 2、由于这个通信协议的关系,导致了HTTP每个请求之间都是没有关联的,每当一个请求完成之后,服务器就忘记之前谁曾经请求过! 3、如果纯粹基于HTTP通信模型,是无法完成登录状态保持的!每次请求服务器,服务器都会把这个请求当作新请求来处理! 4、我们可以通过 cookie 技术,实现状态保持,但是由于c...
Node中的CookieSession
dengxiang4093的博客
08-26 122
1、Cookie HTTP是无状态协议。例:打开一个域名的首页,进而打开该域名的其他页面,服务器无法识别访问者。即同一浏览器访问同一网站,每次访问都没有任何关系。 Cookie的原理是:客户端浏览器在第一次访问服务器后,服务器返回一段json数据进行标识,此后当客户端浏览器再次访问同一个域时,每次都携带此cookie信息。 特点 cookie是不加密的,用户可以自由看到; ...
nodecookiesession
weixin_43003949的博客
06-07 189
cookie:浏览器在电脑硬盘中开辟的一块空间,主要供服务器端存储数据。 cookie中的数据是以域名的形式进行区分的。 cookie中的数据是有过期时间的,超过时间数据会被浏览器自动删除。 如果不设置过期时间则在浏览器关闭的时候删除 cookie中的数据会随着请求被自动发送到服务器端。 session:实际上就是一个对象,存储在服务器端的内存中,在session对象中也可以存储多条数据,每一条数据都有一个sessionid做为唯一标识。 二者都是用来存储数据 cookie在客户端 session在服
技术分享——node设置cookiesession
TheYellowRiver97的博客
03-11 196
引言:因为http协议是无状态的,它并不会记录是谁访问的,所以每次发送请求都需要再次验证,很浪费效率。所以我们使用node设置cookiesession. 身份验证思想: 引入 ...
node学习cookiesession
Candy_mi的博客
09-12 231
cookie---------保存游览器的一些数据,并且每次向服务器发送请求的时候都会带到后台,用户可以非常轻松的更改cookie,非常不安全,有限制(4k) session--------保存数据用的,保存在服务器端,相对比较安全,无限的;session不可能独立存在,它是基于cookie实现的,cookie中会有一个session的id,服务器利用sessionid找到session文件...
带你了解sessioncookie作用原理区别和用法
08-29
本资源主要介绍了sessioncookie的作用原理、区别和用法,帮助读者更好地理解两者之间的关系。 Cookie概念 Cookie是浏览器端存储的一种小文本文件,用于记录用户的信息,以便在后续的访问中使用。Cookie可以根据...
cookie-session:基于cookie的简单会话中间件
02-04
cookie-session需要服务器端的任何数据库/资源​​,尽管会话的总数据不能超过浏览器的最大cookie大小。 cookie-session可以简化某些负载平衡方案。 cookie-session可用于存储“轻量”会话,并包含一个标识符以...
redis-session-manager-redis-session-manager-2.0.1.zip
06-02
标题"redis-session-manager-redis-session-manager-2.0.1.zip"表明这是一个关于Redis Session Manager的2.0.1版本的压缩包文件,可能包含了源代码、文档、配置文件等资源,用于在不同的环境中部署和使用该组件。...
redis-session-manager-redis-session-manager-2.0.3.zip
06-02
这个压缩包文件"redis-session-manager-redis-session-manager-2.0.3.zip"包含了该工具的2.0.3版本,适用于Windows操作系统。下面将详细介绍Redis、Redis Session Manager以及其在Windows环境中的应用。 **Redis** ...
node-express-session:使用Express框架在Node中进行会话管理
04-30
可以通过设置`maxAge`属性来控制会话有效期,或者手动设置`req.session.cookie.maxAge`为`null`来立即过期会话: ```javascript // 在路由处理函数中 req.session.cookie.maxAge = null; req.session.destroy((err)...
cookiesession
dc_show的专栏
01-30 1109
转载来源于:https://github.com/alsotang/node-lessons/tree/master/lesson16 cookiesession 众所周知,HTTP 是一个无状态协议,所以客户端每次发出请求时,下一次请求无法得知上一次请求所包含的状态数据,如何能把一个用户的状态数据关联起来呢? 比如在淘宝的某个页面中,你进行了登陆操作。当你
nodejs死亡笔记之cookiesession(宇宙级框架express)
mystery的博客
08-17 1万+
首先,我必须义正言辞的吐槽一下这个宇宙级框架!express3.x和expss4.x差别怎么就那么大呢?找了好多资料来学习,但总是莫名其妙的报错,一开始我以为是因为我长得不好看,后来发现。。。我用的是4.x的express,而教程是3.x的,好多都对不上号。我@#¥%……&*()&……¥好了,吐槽结束,进入正题。作为一个励志改变世界的程序员,我们必须紧跟时代的潮流,所以nodejs死亡笔记都是基于e
利用Node.js中的Session做简单的登录
热门推荐
少吃点肉的博客
10-27 3万+
Session是什么 Session一般译作会话,牛津词典对其的解释是进行某活动连续的一段时间。从不同的层面看待session,它有着类似但不全然相同的含义。比如,在web应用的用户看来,他打开浏览器访问一个电子商务网站,登录、并完成购物直到关闭浏览器,这是一个会话。而在web应用的开发者开来,用户登录时我需要创建一个数据结构以存储用户的登录信息,这个结构也叫做session。因此在谈论sess
nodejs中的cookiesession
fqq_5280的博客
02-10 668
nodejs中的cookiesession 因为http是一种不保存状态的协议,即无状态协议。HTTP协议自身不对请求和相应之间的通信状态进行保存。也就是说在HTTP这个级别,协议对于发送过的请求和相应都不做持久化处理。这就表示每次刷新都需要重新登录,十分麻烦。所以服务端为了处理这个麻烦出现了cookiesession. cookiesession的区别 cookie数据存放在客户的浏览器...
Node.js设置sessionid(登陆的校验)
BigChicken3的博客
05-25 2622
配置环境 "express-session": "^1.15.6", "session-file-store": "^1.2.0", 在package.json中添加上面两句 在app.js文件中声明 //引用文件 var session = require('express-session'); var FileStore = require('session-file-store')(ses...
node关于session设置
粪球的生活
05-17 2951
cookie一样都需要单独的安装和引用模块, 安装模块:$sudo npm install express-session 主要的方法就是 session(options),其中 options 中包含可选参数,主要有:  name: 设置 cookie 中,保存 session 的字段名称,默认为 connect.sid 。store: session 的存储方式,默认存放在内存中,也可以使用...
nodejs开发中关于cookiesession设置
水痕
07-15 4201
一、安装cookie相关的模块 1、npm install cookie-parser 二、在app.js文件中配置cookie相关的内容 1、引入模块文件//引入cookie文件 const cookieParser = require("cookie-parser"); 2、设置密钥//设置cookie,其中()里面的是密钥,随便写 app.use(cookieParser("aaa")) 三、
个人单页简历素材-简约单页24.docx
最新发布
07-23
【简历模板】工作总结、商业计划书、述职报告、读书分享、家长会、主题班会、端午节、期末、夏至、中国风、卡通、小清新、岗位竞聘、公司介绍、读书分享、安全教育、文明礼仪、儿童故事、绘本、防溺水、夏季安全、科技风、商务、炫酷、企业培训、自我介绍、产品介绍、师德师风、班主任培训、神话故事、巴黎奥运会、世界献血者日、防范非法集资、3D快闪、毛玻璃、人工智能等等各种样式的ppt素材风格。 设计模板、图片素材、PPT模板、视频素材、办公文档、小报模板、表格模板、音效配乐、字体库。 广告设计:海报,易拉宝,展板,宣传单,宣传栏,画册,邀请函,优惠券,贺卡,文化墙,标语,制度,名片,舞台背景,广告牌,证书,明信片,菜单,折页,封面,节目单,门头,美陈,拱门,展架等。 电商设计:主图,直通车,详情页,PC端首页,移动端首页,钻展,优惠券,促销标签,店招,店铺公告等。 图片素材:PNG素材,背景素材,矢量素材,插画,元素,艺术字,UI设计等。 视频素材:AE模板,会声会影,PR模板,视频背景,实拍短片,音效配乐。 办公文档:工作汇报,毕业答辩,企业介绍,总结计划,教学课件,求职简历等PPT/WORD模板。
【精美排版】中北大学嵌入式期末测验(完整).docx
07-23
嵌入式
cookie-session模块如何使用
06-03
const cookieSession = require('cookie-session'); const express = require('express'); const app = express(); app.use(cookieSession({ name: 'session', keys: ['key1', 'key2'] })); ``` 在上面的代码中...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值