阅读 264

Express教程06:Session(完结)

阅读更多系列文章请访问我的GitHub博客,示例代码请访问这里

Session介绍

Session存储在服务器,但它并不独立使用,而是与Cookie或配合使用。

也就是说,在Cookie中存储了一个ID,服务端在接收到Cookie时对ID进行校验,只有通过校验才可以进行下一步处理,否则将让用户重新登录。

Session相对单纯的Cookie校验而言比较安全,但也有可能发生Session劫持。

使用cookie-session中间件操作Session

cookie-session介绍

cookie-session是常用来处理Session的中间件。为了保证安全性,它是强制加密的。

安装cookie-session

npm install cookie-session

使用cookie-session

示例代码:/lesson06/server.js

同其他中间件类似,cookie-session也只需要server.use方法调用,并传入配置即可:

server.use(cookieSession({
  // 循环密钥,其中有若干个密钥。如果只有一个密钥,容易被客户端破解,多个密钥相对安全
  keys: [
    'tVnVq4zDhDtQPGPrx2qSOSdmuYI24C',
    'IUTEaA1wKoWnVDf4DspSBAjKvLWcyn',
    'yC7cWHZDYoRMYawxSVDdzKQdXkZ9sE',
    'Ikjk6OibzaBYiEM13Mrj8ITdb3DonG',
    'uyajLZWgim4BS4SuQtH4kbTi640mWo',
  ],
  // 设置20分钟有效期,若Session丢失,过期后将无法再被使用
  maxAge: 20 * 60 * 1000
}))
复制代码

使用中间件后,在接口中对Session进行操作:

// 在接口中操作Session
server.get('/session', (req, res, next) => {
  console.log(`Session: ${JSON.stringify(req.session)}`)

  // 每次访问/session接口,就将Session中的number值加1
  if (req.session.number) {
    req.session.number++
  } else {
    req.session.number = 1
  }

  // 存储用户ID
  req.session.id = 'lee'

  res.send(`Session: ${JSON.stringify(req.session)}`)
})
复制代码

在浏览器中访问http://localhost:8080/session,就可以看到在页面上打印出的Session值,如Session: {"number":1,"id":"lee"}

在浏览器的控制台中可以看到保存在Cookie中的Session值:

express:sess: eyJudW1iZXIiOjEsImlkIjoibGVlIn0=  // Session的值
express:sess.sig: 2wiwgJGBFBrNF4HuNSECtE39i8w // 对Session值的签名,用来保护Session不被篡改
复制代码

我们可以尝试在控制台中直接修改express:sessexpress:sess.sig的值,刷新后Session会因为校验不通过而被重置。

服务端存储Session

通常在项目开发中,也需要将Session保存在服务端,便于进行校验。

此时可以使用JavaScript库如express-mysql-session,将Session保存在MySQL数据库中。

关注下面的标签,发现更多相似文章
评论