為什么需要cookie

我們知道http是無狀態(tài)的協(xié)議，無狀態(tài)是什么意思呢？

我來舉一個(gè)小例子來說明：比如小明在網(wǎng)上購物，他瀏覽了多個(gè)頁面，購買了一些物品，這些請(qǐng)求在多次連接中完成，如果不借助額外的手段，那么服務(wù)器是不知道他到底購買了什么的，因?yàn)榉?wù)器壓根就不知道每次請(qǐng)求的到底是不是小明，除非小明有一個(gè)標(biāo)識(shí)來證明他是小明。

所以，網(wǎng)站為了辨別用戶身份，進(jìn)行 session 跟蹤，cookie出現(xiàn)了。

cookie是什么

簡(jiǎn)單來說，cookie就是標(biāo)識(shí)。

嚴(yán)格來說，cookie是一些存儲(chǔ)在客戶端的信息，每次連接的時(shí)候由瀏覽器向服務(wù)器遞交，服務(wù)器也向?yàn)g覽器發(fā)起存儲(chǔ) Cookie 的請(qǐng)求，依靠這樣的手段，服務(wù)器可以識(shí)別客戶端。

具體來說，瀏覽器首次向服務(wù)器發(fā)起請(qǐng)求時(shí)，服務(wù)器會(huì)生成一個(gè)唯一標(biāo)識(shí)符并發(fā)送給客戶端瀏覽器，瀏覽器將這個(gè)唯一標(biāo)識(shí)符存儲(chǔ)在 Cookie 中，之后每次發(fā)起的請(qǐng)求中，客戶端瀏覽器都會(huì)向服務(wù)器傳送這個(gè)唯一標(biāo)識(shí)符，服務(wù)器通過這個(gè)唯一標(biāo)識(shí)符來識(shí)別用戶。

說了這么多，打開瀏覽器，我們先來看看這貨吧。

上圖中，就是瀏覽器中存的一個(gè)cookie，他的名字叫name，值為abc。

常規(guī)cookie

光看不過癮，接下來，用node動(dòng)手來做一個(gè)常規(guī)cookie吧。

首先，安裝express框架和cookieParser中間件

npm i express --save
npm install cookie-parser --save

cookieParser中間件的主要用途如下：

1. 解析來自瀏覽器的cookie，放到req.cookies中；
2. 針對(duì)簽名cookie，對(duì)cookie簽名和解簽

代碼如下：

var express = require('express');
var cookieParser = require('cookie-parser');

var app = express();
app.use(cookieParser());

app.use(function (req, res) {
 if (req.url === '/favicon.ico') {
 return
 }

 // 設(shè)置常規(guī)cookie, 有效期為20s, 客戶端腳本不能訪問它的值
 res.cookie('name', 'abc', { signed: false, maxAge: 20 * 1000, httpOnly: true });
 console.log(req.cookies, req.url, req.signedCookies);

 res.end('hello cookie');
})

app.listen(4000)

運(yùn)行后，在瀏覽器中打開 http://localhost:4000/

以chrome為例，f12打開瀏覽器調(diào)試工具，在application中的cookies中便能發(fā)現(xiàn)你定義的cookie。

req.cookies和req.signedCookies屬性是隨http請(qǐng)求發(fā)送過來的請(qǐng)求頭中的Cookie的解析結(jié)果。

其中，req.cookies對(duì)應(yīng)的是普通cookie，req.signedCookies對(duì)應(yīng)的是簽名cookie。

如果請(qǐng)求中沒有cookie，這兩個(gè)對(duì)象都是空的。

簽名cookie

簽名cookie更適合敏感數(shù)據(jù)，因?yàn)橛盟梢则?yàn)證cookie數(shù)據(jù)的完整性，有助于防止中間人攻擊。

有效的簽名cookie放在req.signedCookies對(duì)象中。

代碼如下：

var express = require('express');
var cookieParser = require('cookie-parser');

var app = express();

// 設(shè)置密鑰，用來對(duì)cookie簽名和解簽, Express可以由此確定cookie的內(nèi)容是否被篡改過
app.use(cookieParser('a cool secret'));

app.use(function (req, res) {
 if (req.url === '/favicon.ico') {
 return
 }

 // 設(shè)置簽名cookie, 并且有效期為1min
 res.cookie('name', 'efg', { signed: true, maxAge: 60 * 1000, httpOnly: true });
 console.log(req.cookies, req.url, req.signedCookies);

 res.end('signed cookie');
})
app.listen(4000)

運(yùn)行后，在瀏覽器中打開 http://localhost:4000/

以chrome為例，f12打開瀏覽器調(diào)試工具，在application中的cookies中便能發(fā)現(xiàn)你定義的簽名cookie，格式如下：s%3Aefg.7FJDuO2E9LMyby6%2Bo1fGQ3wkIHGB9v1CDVWod8NQVAo

.號(hào)左邊是cookie的值，右邊是服務(wù)器上用SHA-1 HMAC生成的加密哈希值。

如果這個(gè)簽名cookie的值被篡改，那么服務(wù)器上對(duì)cookie的解簽會(huì)失敗，在node中輸出的req.signedCookies將為false。如下：

而如果cookie完好無損地傳上來，那么將會(huì)被正確解析：

總結(jié)

你可以在cookie中存放任意類型的文本數(shù)據(jù)，但通常是在客戶端存放一個(gè)會(huì)話cookie，這樣你就能在服務(wù)器端保留完整的用戶狀態(tài)。

session

session和基于cookie的。 存在于服務(wù)器，相對(duì)cookie安全，但session也存在session劫持的風(fēng)險(xiǎn)， 所以需要一串很長很多的秘鑰數(shù)組來增加破解的難度。同時(shí)設(shè)置manAge過期時(shí)間， 減少留給壞人破解時(shí)間。

node中有的中間件 是cookie-session

const express = require('express');
const cookieParser = require('cookie-parser');
const cookieSession = require('cookie-session');

var app = express();
app.use(cookieParser());

//cookieSession 必須放在cookieParser后面
app.use(cookieSession({
 //session的秘鑰，防止session劫持。 這個(gè)秘鑰會(huì)被循環(huán)使用，秘鑰越長，數(shù)量越多，破解難度越高。
 keys: ['aaa', 'bbb', 'ccc'],
 //session過期時(shí)間，不易太長。php默認(rèn)20分鐘
 maxAge: 60*60,
 //可以改變?yōu)g覽器cookie的名字
 name: 'session'
}));

app.use('/', function (req, res) {

 //假設(shè)使用count記錄用戶訪問的次數(shù)
 if(req.session['count'] == null) {
  req.session['count'] = 1;
 }else{
  req.session['count']++;
 }
 console.log(req.session['count'])
 res.send('ok')
})
app.listen(8080)

//刪除 delete req.session

瀏覽器中可以看到，服務(wù)器通過respond的set-cookie返回cookie

session是返回的cookie ID, session.sig 是session簽名，作用是知道session是否被修改過

以上就是本文的全部?jī)?nèi)容，希望對(duì)大家的學(xué)習(xí)有所幫助，也希望大家多多支持腳本之家。

最新評(píng)論