nodejs死亡筆記之cookie和session(宇宙級框架express)
首先,我必須義正言辭的吐槽一下這個宇宙級框架!express3.x和expss4.x差別怎麼就那麼大呢?找了好多資料來學習,但總是莫名其妙的報錯,一開始我以為是因為我長得不好看,後來發現。。。我用的是4.x的express,而教程是3.x的,好多都對不上號。我@#¥%……&*()&……¥
好了,吐槽結束,進入正題。作為一個勵志改變世界的程式設計師,我們必須緊跟時代的潮流,所以nodejs死亡筆記都是基於express4.x的。本篇文章將講解cookie和session。
我之前寫過一篇express專案搭建的部落格,所以如何搭建我就不說了。
cookie
在web應用中,多個請求之間共享“使用者會話”是非常必要的。但HTTP1.0協議是無狀態的。那這時Cookie就出現了。那Cookie又是如何處理的呢?
Cookie的處理:
- 服務端向客戶端傳送Cookie
- 客戶端的瀏覽器把Cookie儲存
- 然後在每次請求瀏覽器都會將Cookie傳送到服務端
在HTML文件被髮送之前,Web伺服器通過傳送HTTP 包頭中的Set-Cookie 訊息把一個cookie 傳送到使用者的瀏覽器中,如下示例:
Set-Cookie: name=value; Path=/; expires=Wednesday, 09-Nov-99 23:12:40 GMT;其中比較重要的屬性:
- name=value:鍵值對,可以設定要儲存的 Key/Value,注意這裡的 name 不能和其他屬性項的名字一樣
- Expires: 過期時間(秒),在設定的某個時間點後該 Cookie 就會失效,如 expires=Wednesday, 09-Nov-99 23:12:40 GMT
- maxAge: 最大失效時間(毫秒),設定在多少後失效
- secure: 當 secure 值為 true 時,cookie 在 HTTP 中是無效,在 HTTPS 中才有效
- Path: 表示 cookie 影響到的路,如 path=/。如果路徑不能匹配時,瀏覽器則不傳送這個Cookie
cookie在express中的使用
express 在 4.x 版本之後,管理session和cookies等許多模組都不再直接包含在express中, `而是需要單獨下載安裝相應模組。
cookieParser安裝:
$ npm install cookie-parser
通過express命令建立的專案會自動將這個模組安裝。
使用方法:
app.get('/', function (req, res) {
// 如果請求中的 cookie 存在 isVisit, 則輸出 cookie
// 否則,設定 cookie 欄位 isVisit, 並設定過期時間為1分鐘
if (req.cookies.isVisit) {
console.log(req.cookies);
res.send("再次歡迎訪問");
} else {
res.cookie('isVisit', 1, {maxAge: 60 * 1000});
res.send("歡迎第一次訪問");
}
});session
什麼是session?
session是另一種記錄客戶狀態的機制,不同的是Cookie儲存在客戶端瀏覽器中,而session儲存在伺服器上。
客戶端瀏覽器訪問伺服器的時候,伺服器把客戶端資訊以某種形式記錄在伺服器上,這就是session。客戶端瀏覽器再次訪問時只需要從該Session中查詢該客戶的狀態就可以了。
如果說Cookie機制是通過檢查客戶身上的“通行證”來確定客戶身份的話,那麼session機制就是通過檢查伺服器上的“客戶明細表”來確認客戶身份。
session相當於程式在伺服器上建立的一份客戶檔案,客戶來訪的時候只需要查詢客戶檔案表就可以了。
兩者的區別:
cookie資料存放在客戶的瀏覽器上,session資料放在伺服器上。
cookie不是很安全,別人可以分析存放在本地的COOKIE並進行COOKIE欺騙 考慮到安全應當使用session。
session會在一定時間內儲存在伺服器上。當訪問增多,會比較佔用你伺服器的效能 考慮到減輕伺服器效能方面,應當使用COOKIE。
單個cookie儲存的資料不能超過4K,很多瀏覽器都限制一個站點最多儲存20個cookie。
所以建議:將登陸資訊等重要資訊存放為session、其他資訊如果需要保留,可以放在cookie中
express中的session
跟cookie一樣都需要單獨的安裝和引用模組, 安裝模組:
$npm install express-session這個模組沒有預設安裝,需要自己手動安裝,並引入:
var session = require('express-session');
這個模組的主要的方法是 session(options),其中 options 中包含可選引數,主要有:
- name: 設定 cookie 中,儲存 session 的欄位名稱,預設為 connect.sid 。
- store: session 的儲存方式,預設存放在記憶體中,也可以使用 redis,mongodb 等。express
生態中都有相應模組的支援。 - secret: 通過設定的 secret 字串,來計算 hash 值並放在 cookie 中,使產生的 signedCookie
防篡改。 - cookie: 設定存放 session id 的 cookie 的相關選項,預設為 (default: { path: ‘/’,
httpOnly: true, secure: false, maxAge: null }) - genid: 產生一個新的 session_id 時,所使用的函式, 預設使用 uid2 這個 npm 包。
- rolling: 每個請求都重新設定一個 cookie,預設為 false。
- resave: 即使 session 沒有被修改,也儲存 session 值,預設為 true。
使用方法:
app.use(session({
secret: 'hubwiz app', //secret的值建議使用隨機字串
cookie: {maxAge: 60 * 1000 * 30} // 過期時間(毫秒)
}));
app.get('/session', function (req, res) {
if (req.session.sign) {//檢查使用者是否已經登入
console.log(req.session);//列印session的值
res.send('welecome <strong>' + req.session.name + '</strong>, 歡迎你再次登入');
} else {
req.session.sign = true;
req.session.name = 'https://github.com/CleverFan';
res.send('歡迎登陸!');
}
});session的持久化
重新執行npm start,然後重新整理訪問測試頁面。我們會發現session丟了! 這是因為session會預設的儲存到記憶體當中。也就是說session資料都是儲存在記憶體當中的,當程序退出後,session資料就會丟失。
在開發環境中,這也許並不算什麼壞事。但是如果線上的應用是這樣的,使用者絕對是不能忍受的。所以,我們需要將session資料 持久化儲存。
首先我們講解如何把session儲存到mongodb資料庫當中:
在使用mongodb儲存時首先要載入一個模組:connect-mongo以及mongoose
安裝命令:
npm install connect-mongo
npm install mongoose
var mongoose = require("mongoose");
var session = require('express-session');
var MongoStore = require('connect-mongo/es5')(session);
mongoose.connect('mongodb://127.0.0.1:27017/sessiontest'); //連線資料庫
mongoose.connection.on('open', function () {
console.log('-----------資料庫連線成功!------------');
});
app.use(session({
secret: "what do you want to do?", //secret的值建議使用隨機字串
cookie: {maxAge: 60 * 1000 * 60 * 24 * 14}, //過期時間
resave: true, // 即使 session 沒有被修改,也儲存 session 值,預設為 true
saveUninitialized: true,
store: new MongoStore({
mongooseConnection: mongoose.connection //使用已有的資料庫連線
})
}));mongodb我就不講了,不是本文重點,需要建立sessiontest資料庫。Redis是一個非常適合用於Session管理的資料庫。
- 它的結構簡單,key-value的形式非常符合SessionID-UserID的儲存;
- 讀寫速度非常快;
- 自身支援資料自動過期和清除;
- 語法、部署非常簡單。
基於以上原因,很多Session管理都是基於Redis實現的。所以我們這個示例將用redis管理session。
Express已經將Session管理的整個實現過程簡化到僅僅幾行程式碼的配置的地步了,你完全不用理解整個session產生、儲存、返回、過期、再頒發的結構,使用Express和Redis實現Session管理,只要兩個中介軟體就足夠了:
- express-session
- connect-redis
引數
- client 你可以複用現有的redis客戶端物件, 由 redis.createClient() 建立
- host Redis伺服器名
- port Redis伺服器埠
- socket Redis伺服器的unix_socket
可選引數
- ttl Redis session TTL 過期時間 (秒)
- disableTTL 禁用設定的 TTL
- db 使用第幾個資料庫
- pass Redis資料庫的密碼
- prefix 資料表前輟即schema, 預設為 “sess:”
如何使用:
var express = require('express');
var session = require('express-session');
var RedisStore = require('connect-redis')(session);
var app = express();
var options = {
"host": "127.0.0.1",
"port": "6379",
"ttl": 60 * 60 * 24 * 30, //session的有效期為30天(秒)
};
// 此時req物件還沒有session這個屬性
app.use(session({
store: new RedisStore(options),
secret: 'express is powerful'
}));沒有實際應用的部落格不是好部落格
最後,用一個簡單的登入驗證小專案結束本篇文章。
index.ejs:
<form action="/sign" method="post">
<fieldset>
<legend>Please sign in</legend>
<p>User: <input type="text" name="user"/></p>
<p>Pass: <input type="text" name="password"/></p>
<button>Submit</button>
</fieldset>
</form>sign.ejs
<!doctype html>
<html>
<head>
<title>session</title>
</head>
<body>
<!--登入成功展示的內容-->
<p>welecome <strong> <%=session.name%> </strong>, 歡迎你再次登入<a href="/out"></a></p>
</body>
</html>user.json
{
"admin":{
"password": "admin",
"name": "demo"
}
}admin為登入使用者名稱,password為登入密碼,name為使用者暱稱。
app.js
var express = require('express');
var path = require('path');
var favicon = require('serve-favicon');
var logger = require('morgan');
var cookieParser = require('cookie-parser');
var bodyParser = require('body-parser');
var session = require('express-session');
var routes = require('./routes/index');
var user = require('./user.json');
var app = express();
// view engine setup
app.set('views', path.join(__dirname, 'views'));
app.set('view engine', 'ejs');
// uncomment after placing your favicon in /public
//app.use(favicon(path.join(__dirname, 'public', 'favicon.ico')));
app.use(logger('dev'));
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({ extended: false }));
app.use(cookieParser());
app.use(express.static(path.join(__dirname, 'public')));
// app.use('/', routes);
// app.use('/users', users);
app.use(session({
secret: 'secret', //為了安全性的考慮設定secret屬性
cookie: {maxAge: 60 * 1000 * 30}, //設定過期時間
resave: true, // 即使 session 沒有被修改,也儲存 session 值,預設為 true
saveUninitialized: false, //
}));
app.get('/', function (req, res) {
if (req.session.sign) {//檢查使用者是否已經登入,如果已登入展現的頁面
console.log(req.session);//列印session的值
res.render('sign.ejs', {session:req.session});
} else {//否則展示index頁面
res.render('index.ejs', {title: 'index'});
}
});
//登入表單處理
app.post('/sign', function (req, res) {
//登入的資料和user.json中的資料進行對比
if(!user[req.body.user]){
res.end("input wrong");
}
if (req.body.password != user[req.body.user].password || !user[req.body.user]) {
res.end('sign failure');
} else {
req.session.sign = true;
req.session.name = user[req.body.user].name;
res.send('welecome <strong>' + req.session.name + '</strong>,<a href="/out">登出</a>');
}
});
app.get('/out', function(req, res){
req.session.destroy();
res.redirect('/');
});
// catch 404 and forward to error handler
app.use(function(req, res, next) {
var err = new Error('Not Found');
err.status = 404;
next(err);
});
// error handlers
// development error handler
// will print stacktrace
if (app.get('env') === 'development') {
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: err
});
});
}
// production error handler
// no stacktraces leaked to user
app.use(function(err, req, res, next) {
res.status(err.status || 500);
res.render('error', {
message: err.message,
error: {}
});
});
module.exports = app;
現在啟動專案,就可以使用這個demo了。
歡迎大家和我討論,畢竟我也是個萌新-.-