不同开发模式下的身份认证
- 前后端分离:Ajax请求接口(html,css等静态资源是不请求服务器的,只有数据是请求接口返回的。) 推荐JWT认证
- 服务端渲染(将整个页面以字符串的方式返回给浏览器) 推荐使用session
web开发 网页程序开发
什么是http无状态
http协议的无状态,指的是客户端的每次http请求都是独立的。连续多个请求之间是没有直接的关系的,服务器不会主动保留每次http请求的状态
假设场景:购物网站购物流程:
- 找到要买的东西
- 输入账号密码登录。
- 加入购物车(账号和密码传过去)
- 支付。(账号和密码传过去)
让服务器有记忆能力之 cookie和session
cookie虽然是本地存储,但是每一次请求都会将cookie发送给服务器。
cookie相当于给每一个客户端颁发一个通行证。
cookie的问题
由于cookie是存储在本地浏览器中的,而且js可以直接读写cookie,所以cookie并不安全。 不建议将重要的数据保存在cookie中。
保存登录登录信息的方法
- 方式一:直接将用户名与密码保存到cookie中。 非常危险,强烈不推荐使用。
- 方式二:将密码加密后保存到cookie中。 还可以设置有效期,将登录时间也加密传过去。
- 方式三:只在登录时查询一次数据库,以后不再查询。将账号按照一定的规则加密,下次访问时,将加密后的账号和未加密的账号传过去,验证加密方式。
session的工作原理
session是一种记录客户状态的机制。 cookie是保存在客户端中的,而session保存在服务端上。
express中使用session
1.生成一个服务
express -e sessionDome
2.将package.json更改
"scripts": {
"start": "node ./bin/www"
改为
"scripts": {
"start": "nodemon ./bin/www"
3.安装 express-session
npm i express-session
4在app.js中导入包
const session = require("express-session")
5在app.js中开启session并配置
app.use(session({
//秘钥,本质上就是字符串,相当于密码本。
secret:"qwer",
resave:false,//固定写法
saveUninitialized:true //固定写法
}))
6.在index.js中配置路由
var express = require('express');
var router = express.Router();
/* GET home page. */
router.get('/', function(req, res, next) {
req.session.name="天王盖地虎";
req.name = "小鸡炖蘑菇"
res.render('index', { title: 'Express' });
});
module.exports = router;
在users.js中配置路由
var express = require('express');
var router = express.Router();
/* GET users listing. */
router.get('/', function(req, res, next) {
res.send(`你的暗号是:${req.session.name},你的暗号是:${req.name}`);
});
module.exports = router;
在index.js中将session清空
router.get('/logout', function(req, res, next) {
//调用该方法将session中的所有值都清空。
req.session.destroy();
res.send('session已清空');
});
运行http://localhost:3000/users
你的暗号是:天王盖地虎,你的暗号是:undefined
//可看出 req.name = "小鸡炖蘑菇" 并不能把值传过来
运行http://localhost:3000/logout 清空session
在运行http://localhost:3000/users
你的暗号是:undefined,你的暗号是:undefined
//可看出session已经没有了