一、express生成器
通过应用生成器工具 express-generator 可以快速创建一个应用的骨架。
1. 安装
npm install -g express-generator
2. 使用-h 参数可以列出所有可用的命令行参数:
$ express -h
Usage: express [options] [dir]
Options:
-h, --help 输出使用方法
--version 输出版本号
-e, --ejs 添加对 ejs 模板引擎的支持
--hbs 添加对 handlebars 模板引擎的支持
--pug 添加对 pug 模板引擎的支持
-H, --hogan 添加对 hogan.js 模板引擎的支持
--no-view 创建不带视图引擎的项目
-v, --view <engine> 添加对视图引擎(view) <engine> 的支持 (ejs|hbs|hjs|jade|pug|twig|vash) (默认是 jade 模板引擎)
-c, --css <engine> 添加样式表引擎 <engine> 的支持 (less|stylus|compass|sass) (默认是普通的 css 文件)
--git 添加 .gitignore
-f, --force 强制在非空目录下创建
使用express命令创建项目工程
express (项目名)
例如:express demo 会生成一个名称为demo的项目目录
生成一个基于ejs模板引擎的工程目录:
express --view=ejs express_demo
3.运行程序
在运行之前需要先安装项目依赖所需要的包 使用 npm install
二、内置crypto模块
crypto是一个功能强大的内置加密模块
1.为什么要加密?
在通过表单提交数据时,对于密码等敏感信息应该进行加密传输,否则会比较危险,所以需要加密。在NodeJS中,提供了一个可以进行加密的模块:crypto
2.使用加密
可以把加密算法封装为模块使用,在其他模块导入即可使用
const crypto=require('crypto');
//md5加密
function md5Crypto(str){
let md5=crypto.createHash('md5');
md5.update(str);
return md5.digest('hex');
}
module.exports=md5Crypto;
三、cookie
1.什么是cookie?
http是无状态协议, 简单的说, 当你浏览了一个页面, 然后转到同一个网站的另一个页面, 服务器无法认识到, 这是同一个浏览器在访问同一个网站
但是,为了用户体验, 我们确实需要让服务器能够记忆用户的一些信息。 cookie应运而生
cookie是一个简单的想法: 当访问一个页面的时候,服务器在下行http报文中,命令浏览器存储一个字符串;浏览器再访问同一个域的时候,将把这个字符串携带到上行http请求中。
第一次访问第一个服务器,不可能携带cookie。必须是服务器得到这次请求,在下次响应报头中,携带cookie信息,此后每一次浏览器往这个服务器发出的请求,都会携带这个cookie
2.cookie的特点
- cookie 是不加密的,用户可以自由看到
- 用户可以删除cookie或者禁用它
- cookie可以被篡改
- cookie可以用于攻击
- cookie 存储量很小。
3.如何使用cookie?
express中的cookie,
res负责设置cookie, req负责识别cookie
。
在express中可以使用cookie-parser中间件来操作cookie:
- 安装
npm install cookie-parser
- 使用
const cookieParser = require('cookie-parser');
app.use(cookieParser());//也可以签名,详见下面参数说明(signed)
app.get("/a", (req, res) => {
console.log(req.cookies) //读取cookie
res.cookie("money", 99.8, { //设置cookie
//domain:设置主域名//(子域名可以找主域名,主域名不可以找子域名;一般情况下一个网站一个cookie)
//path:"/" //cookie是保存在根路径下的,为了防止访问不到 (不能往下访问只能往上访问)
//secure: 当 secure 值为 true 时, 在 HTTPS 中才有效; 反之, cookie 在 HTTP 中是有效。
//httpOnly:浏览器不允许脚本操作 document.cookie 去更改 cookie。设置为true可以避免被 xss 攻击拿到 cookie
maxAge: 14 * 86400 * 1000 //有效期
})
res.send("ok")
})
4.cookie参数说明
cookie参数说明
- name :cookie的名字
- value :cookie的值
- domain :允许的合法域名,已百度为例:
BD_HOME 的Domain是www.baidu.com。意味着这个cookie内容只能在www.baidu.com域名下访问,news.baidu.com,tieba.baidu.com…都无法访问这个cookie内容;
PSTM的Domain是.baidu.com。意味着cookie内容可以在www.baidu.com,news.baidu.com,zhidao.baidu.com等.baidu的二级域名下访问
- path :默认是 / ,也就是服务器根目录。表示当前Domain域名下的所有路径对这个cookie都可以访问。比如:
pwd的path是 / 意味着http://localhost:3000/login 也可以访问pwd这个cookie内容。但是user的path是/register,意味着http://localhost:3000/login 下不可以访问这个cookie,这个cookie就只能在http://localhost:3000/register下访问
- expires/Max-age :默认为session,会话级过期时间,也就是浏览器关闭后cookie被删除消失。可以设置这个过期时间:
res.cookie("user", user, {
path: "/register",
// expires: new Date(Date.now() + 1000 * 60 * 60),
maxAge: 1000 * 60 * 60 * 2,
});
注意:推荐使用max-age 来设置过期时间
-
httpOnly :true表示该cookie只可以由服务器端访问,客户端无法通过document.cookie访问
备注:此功能可以防止客户端篡改cookie
g)secure :这是为true表示加密传输,该cookie就只能在https协议下访问,http协议无法获取secure的cookie -
sameSite :google浏览器在5.1版本后增加了一个sameSite的设置,这个设置用于限制第三方(跨域)cookie的访问
-
Signed :表示加密cookie的内容,默认cookie的value是明文,signed为true后可以根据设置的秘钥(cookieParser(‘秘钥’))加密cookie
//若保存时,为加密形式,则需要使用signedCookies取值
console.log(req.signedCookies);
注意:在node中使用req.cookies、req.signedCookies或res.cookie()的时候,需要先安装cookie-parser中间件,否则无法使用.
注意分辨写入cookie使用的是res,获取cookie使用的req
四、session
session是一种特殊的cookie,session是存储在服务端的。
- 安装express-session中间件
cnpm i express-session --save
- 使用:
const session=require('express-session');
//使用session中间件
app.use(session({
secret:"xxx" //secret 属性必须配置,否则会报错
}));
app.get('/login',(req,res)=>{
// id 值
console.log(req.session.myName);
req.session.myName='jack';//将数据存储到session中
res.send('ok');
})
- session和cookie的区别
由于http协议的无状态性,无法跟踪记录用户的状态和行为,所以需要借助cookie和session;比如,我们在网页上登录百度账号,登录成功后,我们发现在一定时间内打开百度网页不需要再次登录账号,为什么?
首先,我们登录成功后,服务器会给浏览器写入一个cookie信息,这个cookie信息是当前用户的登录状态(这个cookie可以设置过期时间);
然后,后面的每次请求浏览器都会携带这个cookie到服务器上,这个过程是自动的,浏览器自发的,不需要我们人工操作;
然后,服务器收到浏览器的发送来的cookie后,对这个cookie的value进行有效性判断,然后给予客户端不同的响应信息.
session是一种特殊的cookie,session也是使用cookie来跟踪用户的行为。它的工作流程如下:
首先,我们访问某一个服务器的地址,比如访问了带有验证码的链接,服务器在生成这个验证的时候使到了session技术,服务器就会自动的给客户端浏览器发送一个sessionID,浏览器会将这个sessionID存储到cookie中(所以说session是特殊的cookie)。
然后,客户在浏览器上填写完毕信息和验证码后,提交服务器,这个过程中浏览器会自动携带session cookie (sessionID)发送给服务器
然后,服务器收到sessionID后,会和服务器上存储的session信息做比对,找到与这个sessionID关联的数据(req.session)
4. cookie和localStorage的区别?
- cookie的大小是4k左右,localStorage是5M左右
- cookie有过期时间,localStorage是永久存储
- cookie会发送给服务器,localStorage不会,是本地行为
- cookie是比较古老的技术,不存在兼容性;localStorage是h5中的技术,有兼容性
- cookie可以设置domain和path,localStorage不行
- session的参数:
- secret :加密秘钥,使用express-session的时候
必填
,否则报错,字符串形式。 - name :用来设置cookie session的名字。
- saveUninitialized :默认为true,保存未初始化的session,意思是不管你是否使用session存储信息,都会给客户端浏览器写入一个sessionid,服务端也会保存这个session会话信息;如果设置为false,意味着只有当使用session存储信息的时候,服务端才会保存session会话信息,也才会给客户端浏览器写入sessionid(不见鬼子不拉线);官方推荐设置为false
- resave:布尔类型(true),强制所有session刷新,一旦有session存储操作,就会刷新整个session存储容器