Express框架 cookie session

47 0

cookie大小有限制,并且每次浏览器请求都会将cookie发送给服务器,为此,服务器本身有一个session存储,这个session可以理解为无限大小,只要服务器有空间,就可以存。

基本流程:

浏览器发出请求(空的cookie)
|
|
|
服务器接收,创建session,返回一个带session id的cookie给浏览器
|
|
|
浏览器接收到cookie,每次都会发送这个带id的cookie从而形成用户认证这种效果

session基于cookie

cookie

服务器发送cookie

const express = require("express");

var server = express();
server.listen(8080);

server.use('/', (req, res) => {
  res.cookie('user', 'zhangsan', { path: "/", maxAge: 30 * 24 * 3600 * 1000 });

  res.send("ok");
});

res.cookie由服务器向浏览器发送一个cookie,里面有key和value,还有一个对象参数。

读取cookie

安装中间件:cookie-parser

npm install cookie-parser
const express = require("express");
const cookieParser = require("cookie-parser");

var server = express();
server.listen(8080);

server.use(cookieParser());

server.use('/', (req, res) => {
  console.log(req.cookies);

  res.send("ok");
});

签名

利用签名可以判断这个cookie是否被修改过。并不是加密。

签名之前我们需要创建一个后端能使用的签名字符串,用于签名生成,并且后端创建cookie时还要启用{signed:true}签名参数。

加密后的cookie无法通过req.cookies获取,要使用req.signeCookies来获取签名的cookie

const express = require("express");
const cookieParser = require("cookie-parser");

var server = express();
server.listen(8080);

server.use(cookieParser());

server.use('/', (req, res) => {
  req.secret = "hsjkadhkjaqwgsda";
  res.cookie('user', 'zhangsan', { signed: true });

  console.log('未签名', req.cookies);
  console.log('签名', req.signedCookies);

  res.send("ok");

});

此时获取的签名的cookie会带有一大串签名文字,但实际上我们要获取的只要内容就行了,不需要签名,为此需要在cookieParser中间件中将secret签名字符传入即可。

const express = require("express");
const cookieParser = require("cookie-parser");

var server = express();
server.listen(8080);

server.use(cookieParser("hsjkadhkjaqwgsda"));

server.use('/', (req, res) => {
  req.secret = "hsjkadhkjaqwgsda";
  res.cookie('user', 'zhangsan', { signed: true });

  console.log('未签名', req.cookies);
  console.log('签名', req.signedCookies);

  res.send("ok");
});

由于签名会将字符串加长从而增大了cookie的大小,但是cookie只有4k的存储,所以能不用签名就不用,从而节省体积

删除cookie

const express = require("express");
const cookieParser = require("cookie-parser");

var server = express();
server.listen(8080);

server.use(cookieParser("hsjkadhkjaqwgsda"));

server.use('/', (req, res) => {
 res.clearCookie("user");
  res.send("ok");
});

res.clearCookie("user");删除对应name为user的cookie。

加密

使用一个中间件cookie-encrypter,具体要看这个插件的使用文档了。

session

session是基于cookie的,所以使用方法要写在cookie之后,使用一个cookie-session插件。

安装

npm install cookie-session

使用

const express = require("express");
const cookieParser = require("cookie-parser");
const cookieSession = require("cookie-session");

var server = express();
server.listen(8080);

server.use(cookieParser());
server.use(cookieSession({
  keys: ["asnkjdjada", "dhasjigdas", "djkashdkjas"]
}));

server.use('/', (req, res) => {
  if (req.session["count"] == null) {
    req.session["count"] = 1;
  } else {
    req.session["count"]++;
  }

  console.log(req.session["count"]);
  
  res.send("ok");
});

cookieSession要在cookieParser之后使用,并且他还有一个参数,参数必填keys,也就是类似于cookie签名用的那个字符串,session会一次调用对应的字符串对session id进行加密,理论上来说,kyes数组里面的字符越多,加密效果就越好。

然后在后面我们可以进行一次统计访问次数。

session默认会给浏览器两个cookie,一个为seesion的id,一个是id的加密密匙,每次请求都会更新一次密匙,防止id被修改。

而session除了keys还有两个参数

server.use(cookieSession({
  name:"csss",
  keys: ["asnkjdjada", "dhasjigdas", "djkashdkjas"],
  maxAge: 2*3600*1000  //两个小时
}))

name是自定义cookie-session的name属性,maxAge为有效期,一般2个小时,有效期越长越不安全。

seesion存在于服务器,通过cookie的id来读取。

删除seesion

server.use('/', (req, res) => {
  if(req.session["count"]){
    delete req.session["count"];
  }
  
  res.send("ok");
});
0
  • 本文分类:Node
  • 本文标签:cookieexpressseesion
  • 流行热度:已超过 47 人围观了本文
  • 发布日期:2020年07月27日 - 16时04分00秒
  • 版权申明:本文系作者@木灵鱼儿原创发布在木灵鱼儿站点。未经许可,禁止转载。

相关文章

微信收款码
微信收款码