一 Cookie

因為HTTP協(xié)議是沒有狀態(tài)的，但很多情況下是需要一些信息的，比如在用戶登陸后、再次訪問網(wǎng)站時，沒法判斷用戶是否登陸過。于是就有了cookies，用于在瀏覽器端保存用戶數(shù)據(jù)，它有如下特點

1 是在客戶端瀏覽器端才有的

2 用于記錄信息，大小最大為4K字節(jié)

3 如果使用了cookies，那么任何對該域名的訪問都會帶上cookies

目前新型網(wǎng)站更多的采用瀏覽器緩存，cookie會存在一些問題，比如你每次往服務(wù)器提交請求時，都會帶上cookie，無論是你訪問的是不是靜態(tài)圖片。

cookie例子：

二 Session

session類似服務(wù)器端的cookie，保存于服務(wù)器端，類似于服務(wù)器緩存。用戶登陸了總需要驗證吧，那么就在session中驗證即可，session和cookie是一一對應(yīng)關(guān)系。

session的創(chuàng)建順序

生成全局唯一標識符（sessionid）；

開辟數(shù)據(jù)存儲空間。一般會在內(nèi)存中創(chuàng)建相應(yīng)的數(shù)據(jù)結(jié)構(gòu)，但這種情況下，系統(tǒng)一旦掉電，所有的會話數(shù)據(jù)就會丟失，如果是電子商務(wù)網(wǎng)站，這種事故會造成嚴重的后果。不過也可以寫到文件里甚至存儲在數(shù)據(jù)庫中，這樣雖然會增加I/O開銷，但session可以實現(xiàn)某種程度的持久化，而且更有利于session的共享；

將session的全局唯一標示符發(fā)送給客戶端。

問題的關(guān)鍵就在服務(wù)端如何發(fā)送這個session的唯一標識上。聯(lián)系到HTTP協(xié)議，數(shù)據(jù)無非可以放到請求行、頭域或Body里，基于此，一般來說會有兩種常用的方式：cookie和URL重寫。

三 Set-Cookie

Cookie是如何被設(shè)置的呢？是被服務(wù)器返回的請求設(shè)置的。

服務(wù)器會返回一個set-cookie的消息，通知瀏覽器要設(shè)置cookie了，于是瀏覽器會根據(jù)set-cookie里的字段來設(shè)置信息了，比如上圖的信息就會設(shè)置session=r@rdegges.com

四 實戰(zhàn)

我們以client-session（express-session基本完全一樣）為例，為項目配置session

1 安裝模塊

var session = require('client-sessions');

2 配置session

app.use(session({
 cookieName: 'session',
 secret: 'random_string_goes_here',
 duration: 30 * 60 * 1000,
 activeDuration: 5 * 60 * 1000,
}));

1）secret：一個隨機字符串，因為客戶端的數(shù)據(jù)都是不安全的，所以需要進行加密

2) duration：session的過期時間，過期了就必須重新設(shè)置

3) activeDuration: 激活時間，比如設(shè)置為30分鐘，那么只要30分鐘內(nèi)用戶有服務(wù)器的交互，那么就會被重新激活。

五 在Session中保存用戶信息

app.post('/login', function(req, res) {
 User.findOne({ email: req.body.email }, function(err, user) {
  if (!user) {
   res.render('login.jade', { error: 'Invalid email or password.' });
  } else {
   if (req.body.password === user.password) {
    
    // sets a cookie with the user's info
    req.session.user = user;
    // 這里貌似有誤，只是set了session，返回這個sessionid，但但數(shù)據(jù)并不會set到這個cookie里頭
    
    res.redirect('/dashboard');
   } else {
    res.render('login.jade', { error: 'Invalid email or password.' });
   }
  }
 });
});

六 Session層中間件

我們當然不希望每個請求都加上這一段，所以我們使用express來做全局配置

app.use(function(req, res, next) {
 if (req.session && req.session.user) {
  User.findOne({ email: req.session.user.email }, function(err, user) {
   if (user) {
    req.user = user;
    delete req.user.password; // delete the password from the session
    req.session.user = user; //refresh the session value
    res.locals.user = user;
   }
   // finishing processing the middleware and run the route
   next();
  });
 } else {
  next();
 }
});

如果用戶邏輯在沒有登陸時必須登陸，那我們可以繼續(xù)加一個路由

function requireLogin (req, res, next) {
 if (!req.user) {
  res.redirect('/login');
 } else {
  next();
 }
};
app.get('/dashboard', requireLogin, function(req, res) {
 res.render('dashboard.jade');
});

七 安全性

1 我們可以在登出時重置session

app.get('/logout', function(req, res) {
 req.session.reset();
 res.redirect('/');
});

還可以加一些安全性

httpOnly：用來保證cookie只能通過http訪問，而不能用js來讀取

secure：強制使用https

ephemeral：關(guān)閉瀏覽器時同時關(guān)閉cookie

八 總結(jié)

Cookie和session由于實現(xiàn)手段不同，因此也各有優(yōu)缺點和各自的應(yīng)用場景：

1. 應(yīng)用場景

Cookie的典型應(yīng)用場景是Remember Me服務(wù)，即用戶的賬戶信息通過cookie的形式保存在客戶端，當用戶再次請求匹配的URL的時候，賬戶信息會被傳送到服務(wù)端，交由相應(yīng)的程序完成自動登錄等功能。當然也可以保存一些客戶端信息，比如頁面布局以及搜索歷史等等。
Session的典型應(yīng)用場景是用戶登錄某網(wǎng)站之后，將其登錄信息放入session，在以后的每次請求中查詢相應(yīng)的登錄信息以確保該用戶合法。當然還是有購物車等等經(jīng)典場景；

1. 安全性

cookie將信息保存在客戶端，如果不進行加密的話，無疑會暴露一些隱私信息，安全性很差，一般情況下敏感信息是經(jīng)過加密后存儲在cookie中，但很容易就會被竊取。而session只會將信息存儲在服務(wù)端，如果存儲在文件或數(shù)據(jù)庫中，也有被竊取的可能，只是可能性比cookie小了太多。

Session安全性方面比較突出的是存在會話劫持的問題，這是一種安全威脅，這在下文會進行更詳細的說明。總體來講，session的安全性要高于cookie；

1. 性能

Cookie存儲在客戶端，消耗的是客戶端的I/O和內(nèi)存，而session存儲在服務(wù)端，消耗的是服務(wù)端的資源。但是session對服務(wù)器造成的壓力比較集中，而cookie很好地分散了資源消耗，就這點來說，cookie是要優(yōu)于session的；

1. 時效性

Cookie可以通過設(shè)置有效期使其較長時間內(nèi)存在于客戶端，而session一般只有比較短的有效期（用戶主動銷毀session或關(guān)閉瀏覽器后引發(fā)超時）；

1. 其他

Cookie的處理在開發(fā)中沒有session方便。而且cookie在客戶端是有數(shù)量和大小的限制的，而session的大小卻只以硬件為限制，能存儲的數(shù)據(jù)無疑大了太多。

繼續(xù)補充下，關(guān)于如何做一個完整的登陸

1 用戶端

一般來說應(yīng)該使用https，而且密碼絕不能在網(wǎng)絡(luò)中明文傳輸，因此在往服務(wù)器傳輸時就應(yīng)該先加密，常見的md5，但md5被破解，因此可以用SHA512來加密 SHA256(password)

2 服務(wù)端

服務(wù)端需要對密碼再進行加密，因為所有客戶端的東西都是不安全的，萬一你的網(wǎng)絡(luò)被監(jiān)聽了呢，因此會進行 SHA512(username+SHA512(password)+sault)的加密，這里的sault為隨機數(shù)，防止被脫庫了后被猜出密碼，所以需要附加一個隨機數(shù)，這個sault最好是存放到另外的數(shù)據(jù)庫中，防止因為存到一個庫中被脫庫中猜出

總結(jié)

以上所述是小編給大家介紹的Nodejs 和Session 原理及實戰(zhàn)技巧小結(jié)，希望對大家有所幫助，如果大家有任何疑問請給我留言，小編會及時回復(fù)大家的。在此也非常感謝大家對腳本之家網(wǎng)站的支持！

最新評論