express使用session與cookie詳解
無狀態的http
我們都知道http的請求和響應式相互獨立的,伺服器無法識別兩條http請求是否是同一個使用者傳送的。也就是說伺服器端並沒有記錄通訊狀態的能力。我們通常使用cookie和session來確定會話雙方的身份。
cookie
cookie 是從伺服器端傳送的,伺服器給不同的使用者傳送不同的標識,這個標識表示使用者的身份,伺服器通過客戶端傳送的這個標識來識別使用者的身份,從而查詢伺服器中的該使用者的相關資料,然後傳送到該使用者。
安裝express提供的cookie-parser中介軟體:
npm i -S cookie-parser
在我們使用的專案頁面模組中引入 cookie-parser 外掛,然後例項化它,如下:
var cookieParser = require('cookie-parser');
var cp = cookieParser(secret, options);
它有兩個引數,第一個引數secret,用它可以對cookie進行簽名,也就是我們常說的cookie加密。它可以是字串也可以是陣列,如果熟悉加密原理的同學應該知道,這個字串就是伺服器所擁有的密文,第二個引數options包含如下可選引數:
path:指定 cookie 影響到的路徑
expires: 指定時間格式
maxAge:指定 cookie 什麼時候過期
secure:當 secure 值為 true 時,在 HTTPS 中才有效;反之,cookie 在 HTTP 中是有效。
httpOnly:瀏覽器不允許指令碼操作 document .cookie 去更改 cookie。設定為true可以避免被 xss 攻擊拿到 cookie
參考cookie-parser中的例子,實現一個記住訪問路徑的demo,程式碼如下:
var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 使用 cookieParser 中介軟體;
app.use(cookieParser());
// 如果請求中的 cookie 存在 isFirst
// 否則,設定 cookie 欄位 isFirst, 並設定過期時間為10秒
app.get('/', function(req, res) {
if (req.cookies.isFirst) {
res.send("再次歡迎訪問");
console.log(req.cookies)
} else {
res.cookie('isFirst', 1, { maxAge: 60 * 1000});
res.send("歡迎第一次訪問");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
cookie-parser 還可以對Cookie資料進行加密,也就是我們所說的signedCookies。
signedCookies
實現程式碼如下:
var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 使用 cookieParser 中介軟體;
app.use(cookieParser('my_cookie_secret'));
// cookie
app.get('/', function(req, res) {
if (req.signedCookies.isFirst) {
res.send("歡迎再一次訪問");
console.log(req.signedCookies)
} else {
res.cookie('isFirst', 1, { maxAge: 60 * 1000, signed: true});
res.send("歡迎第一次訪問");
}
});
從上面的程式碼中我們知道cooke-parser的第一個引數可以指定伺服器端的提供的加密密匙,然後我們使用options中的signed配置項可實現加密。雖然這樣相對安全,但是客戶端的Cookie有侷限性,在客戶端傳送請求時會增加請求頭部的資料量,導致請求速度變慢;另外它不能實現資料的共享。
session
express-session 是expressjs的一箇中間件用來建立session。伺服器端生成了一個sessionn-id,客戶端使用了cookie儲存了session-id這個加密的請求資訊,而將使用者請求的資料儲存在伺服器端,但是它也可以實現將使用者的資料加密後儲存在客戶端。
session記錄的是客戶端與服務端之間的會話狀態,該狀態用來確定客戶端的身份。
express-session支援session存放位置
可以存放在cookie中,也可以存放在記憶體中,或者是redis、mongodb等第三方伺服器中。
session預設存放在記憶體中,存放在cookie中安全性太低,存放在非redis資料庫中查詢速度太慢,一般專案開發中都是存放在redis中(快取資料庫)。
在express提供的express-session中介軟體安裝命令:
npm i -S express-session
在我們使用的專案頁面模組中引入 express-session 外掛,然後例項化它,如下:
var session = require('express-session');
var se = session(options);
session()的引數options配置項主要有:
name: 設定cookie中,儲存session的欄位名稱,預設為connect.sid
store: session的儲存方式,預設為存放在記憶體中,我們可以自定義redis等
genid: 生成一個新的session_id時,預設為使用uid2這個npm包
rolling: 每個請求都重新設定一個cookie,預設為false
resave: 即使session沒有被修改,也儲存session值,預設為true
saveUninitialized:強制未初始化的session儲存到資料庫
secret: 通過設定的secret字串,來計算hash值並放在cookie中,使產生的signedCookie防篡改
cookie : 設定存放sessionid的cookie的相關選項
那麼,使用它我們都能做些什麼呢?下面我們將一一介紹。
cookie session
cookie session 使用很簡單就是我們在配置項中使用cookie配置項,就可以將session資料儲存在cookie中,它和signedCookies類似都是將資料儲存在客戶端,而且都對資料進行了加密,但是加密後的請求得到的資料結構不一樣。
cooke session 的結構如下:
Session {
cookie:
{ path: '/',
_expires: 2018-01-29T17:58:49.950Z,
originalMaxAge: 60000,
httpOnly: true },
isFirst: 1 }
signedCookie 結構如下:
{ isFirst: '1' }
實現cookie session程式碼如下:
var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();
// session
app.use(session({
name: 'session-name', // 這裡是cookie的name,預設是connect.sid
secret: 'my_session_secret', // 建議使用 128 個字元的隨機字串
resave: true,
saveUninitialized: false,
cookie: { maxAge: 60 * 1000, httpOnly: true }
}));
// route
app.get('/', function(req, res, next) {
if(req.session.isFirst || req.cookies.isFirst) {
res.send("歡迎再一次訪問");
} else {
req.session.isFirst = 1;
res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
res.send("歡迎第一次訪問。");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
signed-cookie vs cookie session
- signedCookies 資訊可見但不可修改,cookie session不可見也不可修改
- signedCookies 資訊長期儲存客戶端,後者客戶端關閉,資訊消失
針對Cooke session增加了客戶端請求的資料規模,我們一般這樣使用,資料庫儲存session。
資料庫儲存session
用資料庫儲存session,我們一般使用redis,因為它是快取資料庫,查詢速度相較於非快取的速度更快。
express-session 的例項程式碼如下:
var path = require('path');
var express = require('express');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();
// session
app.use(session({
name: 'session-name', // 這裡是cookie的name,預設是connect.sid
secret: 'my_session_secret', // 建議使用 128 個字元的隨機字串
resave: true,
saveUninitialized: false,
store: new redisStore({
host: '127.0.0.1',
port: '6379',
db: 0,
pass: '',
})
}));
// route
app.get('/', function(req, res) {
if (req.session.isFirst) {
res.send("歡迎再一次訪問。");
console.log(req.session)
} else {
req.session.isFirst = 1;
res.send("歡迎第一次訪問。");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
但有時我們也使用非redis資料庫儲存session,這時我們就需要對專案結構有深刻的認識和理解;否則,使用後反而會適得其反。
另外,我們要注意使用資料庫儲存session資料,在瀏覽器端的session-id會隨著瀏覽器的關閉而消失,下次開啟瀏覽器傳送請求時,伺服器依然不能識別請求者的身份。
cookie session 雖然能解決這個問題,但是它本身存在著安全風險,其實cookie session 和 signedCookies都面臨xss攻擊。
其實,使用signedCookies和session的結合會在一定程度上降低這樣的風險。
signedCookies(cookies) 和 session的結合
在開發中,我們往往需要signedCookies的長期儲存特性,又需要session的不可見不可修改的特性。
var path = require('path');
var express = require('express');
var cookieParser = require('cookie-parser');
var session = require('express-session');
var redisStore = require('connect-redis')(session);
var app = express();
// 使用 cookieParser 中介軟體;
app.use(cookieParser());
// session
app.use(session({
name: 'session-name', // 這裡是cookie的name,預設是connect.sid
secret: 'my_session_secret', // 建議使用 128 個字元的隨機字串
resave: true,
saveUninitialized: false,
// cookie: { maxAge: 60 * 1000, httpOnly: true },
store: new redisStore({
host: '127.0.0.1',
port: '6379',
db: 0,
pass: '',
})
}));
app.get('/', function(req, res, next) {
if(req.session.isFirst || req.cookies.isFirst) {
res.send("歡迎再一次訪問");
} else {
req.session.isFirst = 1;
res.cookie('isFirst', 1, { maxAge: 60 * 1000, singed: true});
res.send("歡迎第一次訪問。");
}
});
app.listen(3030, function() {
console.log('express start on: ' + 3030)
});
這樣我們將session儲存在redis中的資訊,儲存在了session_id所標示的客戶端cooke中一份,這樣我們就不用擔心,瀏覽器關閉,cookie中的session_id欄位就會消失的情況,因為瀏覽器中還有它的備份cookie,如果沒有備份的cookie資訊,下次客戶端再次發出請求瀏覽就無法確定使用者的身份。