一 Cookie

因?yàn)镠TTP協(xié)議是沒有狀態(tài)的，但很多情況下是需要一些信息的，比如在用戶登陸后、再次訪問網(wǎng)站時(shí)，沒法判斷用戶是否登陸過。于是就有了cookies，用于在瀏覽器端保存用戶數(shù)據(jù)，它有如下特點(diǎn)

1 是在客戶端瀏覽器端才有的

2 用于記錄信息，大小最大為4K字節(jié)

3 如果使用了cookies，那么任何對(duì)該域名的訪問都會(huì)帶上cookies

目前新型網(wǎng)站更多的采用瀏覽器緩存，cookie會(huì)存在一些問題，比如你每次往服務(wù)器提交請(qǐng)求時(shí)，都會(huì)帶上cookie，無論是你訪問的是不是靜態(tài)圖片。

cookie例子：

二 Session

session類似服務(wù)器端的cookie，保存于服務(wù)器端，類似于服務(wù)器緩存。用戶登陸了總需要驗(yàn)證吧，那么就在session中驗(yàn)證即可，session和cookie是一一對(duì)應(yīng)關(guān)系。

session的創(chuàng)建順序

生成全局唯一標(biāo)識(shí)符（sessionid）；

開辟數(shù)據(jù)存儲(chǔ)空間。一般會(huì)在內(nèi)存中創(chuàng)建相應(yīng)的數(shù)據(jù)結(jié)構(gòu)，但這種情況下，系統(tǒng)一旦掉電，所有的會(huì)話數(shù)據(jù)就會(huì)丟失，如果是電子商務(wù)網(wǎng)站，這種事故會(huì)造成嚴(yán)重的后果。不過也可以寫到文件里甚至存儲(chǔ)在數(shù)據(jù)庫中，這樣雖然會(huì)增加I/O開銷，但session可以實(shí)現(xiàn)某種程度的持久化，而且更有利于session的共享；

將session的全局唯一標(biāo)示符發(fā)送給客戶端。

問題的關(guān)鍵就在服務(wù)端如何發(fā)送這個(gè)session的唯一標(biāo)識(shí)上。聯(lián)系到HTTP協(xié)議，數(shù)據(jù)無非可以放到請(qǐng)求行、頭域或Body里，基于此，一般來說會(huì)有兩種常用的方式：cookie和URL重寫。

三 Set-Cookie

Cookie是如何被設(shè)置的呢？是被服務(wù)器返回的請(qǐng)求設(shè)置的。

服務(wù)器會(huì)返回一個(gè)set-cookie的消息，通知瀏覽器要設(shè)置cookie了，于是瀏覽器會(huì)根據(jù)set-cookie里的字段來設(shè)置信息了，比如上圖的信息就會(huì)設(shè)置session=r@rdegges.com

四 實(shí)戰(zhàn)

我們以client-session（express-session基本完全一樣）為例，為項(xiàng)目配置session

1 安裝模塊

var session = require('client-sessions');

2 配置session

app.use(session({
 cookieName: 'session',
 secret: 'random_string_goes_here',
 duration: 30 * 60 * 1000,
 activeDuration: 5 * 60 * 1000,
}));

1）secret：一個(gè)隨機(jī)字符串，因?yàn)榭蛻舳说臄?shù)據(jù)都是不安全的，所以需要進(jìn)行加密

2) duration：session的過期時(shí)間，過期了就必須重新設(shè)置

3) activeDuration: 激活時(shí)間，比如設(shè)置為30分鐘，那么只要30分鐘內(nèi)用戶有服務(wù)器的交互，那么就會(huì)被重新激活。

五 在Session中保存用戶信息

app.post('/login', function(req, res) {
 User.findOne({ email: req.body.email }, function(err, user) {
  if (!user) {
   res.render('login.jade', { error: 'Invalid email or password.' });
  } else {
   if (req.body.password === user.password) {
    
    // sets a cookie with the user's info
    req.session.user = user;
    // 這里貌似有誤，只是set了session，返回這個(gè)sessionid，但但數(shù)據(jù)并不會(huì)set到這個(gè)cookie里頭
    
    res.redirect('/dashboard');
   } else {
    res.render('login.jade', { error: 'Invalid email or password.' });
   }
  }
 });
});

六 Session層中間件

我們當(dāng)然不希望每個(gè)請(qǐng)求都加上這一段，所以我們使用express來做全局配置

app.use(function(req, res, next) {
 if (req.session && req.session.user) {
  User.findOne({ email: req.session.user.email }, function(err, user) {
   if (user) {
    req.user = user;
    delete req.user.password; // delete the password from the session
    req.session.user = user; //refresh the session value
    res.locals.user = user;
   }
   // finishing processing the middleware and run the route
   next();
  });
 } else {
  next();
 }
});

如果用戶邏輯在沒有登陸時(shí)必須登陸，那我們可以繼續(xù)加一個(gè)路由

function requireLogin (req, res, next) {
 if (!req.user) {
  res.redirect('/login');
 } else {
  next();
 }
};
app.get('/dashboard', requireLogin, function(req, res) {
 res.render('dashboard.jade');
});

七 安全性

1 我們可以在登出時(shí)重置session

app.get('/logout', function(req, res) {
 req.session.reset();
 res.redirect('/');
});

還可以加一些安全性

httpOnly：用來保證cookie只能通過http訪問，而不能用js來讀取

secure：強(qiáng)制使用https

ephemeral：關(guān)閉瀏覽器時(shí)同時(shí)關(guān)閉cookie

八 總結(jié)

Cookie和session由于實(shí)現(xiàn)手段不同，因此也各有優(yōu)缺點(diǎn)和各自的應(yīng)用場(chǎng)景：

1. 應(yīng)用場(chǎng)景

Cookie的典型應(yīng)用場(chǎng)景是Remember Me服務(wù)，即用戶的賬戶信息通過cookie的形式保存在客戶端，當(dāng)用戶再次請(qǐng)求匹配的URL的時(shí)候，賬戶信息會(huì)被傳送到服務(wù)端，交由相應(yīng)的程序完成自動(dòng)登錄等功能。當(dāng)然也可以保存一些客戶端信息，比如頁面布局以及搜索歷史等等。
Session的典型應(yīng)用場(chǎng)景是用戶登錄某網(wǎng)站之后，將其登錄信息放入session，在以后的每次請(qǐng)求中查詢相應(yīng)的登錄信息以確保該用戶合法。當(dāng)然還是有購物車等等經(jīng)典場(chǎng)景；

1. 安全性

cookie將信息保存在客戶端，如果不進(jìn)行加密的話，無疑會(huì)暴露一些隱私信息，安全性很差，一般情況下敏感信息是經(jīng)過加密后存儲(chǔ)在cookie中，但很容易就會(huì)被竊取。而session只會(huì)將信息存儲(chǔ)在服務(wù)端，如果存儲(chǔ)在文件或數(shù)據(jù)庫中，也有被竊取的可能，只是可能性比cookie小了太多。

Session安全性方面比較突出的是存在會(huì)話劫持的問題，這是一種安全威脅，這在下文會(huì)進(jìn)行更詳細(xì)的說明。總體來講，session的安全性要高于cookie；

1. 性能

Cookie存儲(chǔ)在客戶端，消耗的是客戶端的I/O和內(nèi)存，而session存儲(chǔ)在服務(wù)端，消耗的是服務(wù)端的資源。但是session對(duì)服務(wù)器造成的壓力比較集中，而cookie很好地分散了資源消耗，就這點(diǎn)來說，cookie是要優(yōu)于session的；

1. 時(shí)效性

Cookie可以通過設(shè)置有效期使其較長時(shí)間內(nèi)存在于客戶端，而session一般只有比較短的有效期（用戶主動(dòng)銷毀session或關(guān)閉瀏覽器后引發(fā)超時(shí)）；

1. 其他

Cookie的處理在開發(fā)中沒有session方便。而且cookie在客戶端是有數(shù)量和大小的限制的，而session的大小卻只以硬件為限制，能存儲(chǔ)的數(shù)據(jù)無疑大了太多。

繼續(xù)補(bǔ)充下，關(guān)于如何做一個(gè)完整的登陸

1 用戶端

一般來說應(yīng)該使用https，而且密碼絕不能在網(wǎng)絡(luò)中明文傳輸，因此在往服務(wù)器傳輸時(shí)就應(yīng)該先加密，常見的md5，但md5被破解，因此可以用SHA512來加密 SHA256(password)

2 服務(wù)端

服務(wù)端需要對(duì)密碼再進(jìn)行加密，因?yàn)樗锌蛻舳说臇|西都是不安全的，萬一你的網(wǎng)絡(luò)被監(jiān)聽了呢，因此會(huì)進(jìn)行 SHA512(username+SHA512(password)+sault)的加密，這里的sault為隨機(jī)數(shù)，防止被脫庫了后被猜出密碼，所以需要附加一個(gè)隨機(jī)數(shù)，這個(gè)sault最好是存放到另外的數(shù)據(jù)庫中，防止因?yàn)榇娴揭粋€(gè)庫中被脫庫中猜出

總結(jié)

以上所述是小編給大家介紹的Nodejs 和Session 原理及實(shí)戰(zhàn)技巧小結(jié)，希望對(duì)大家有所幫助，如果大家有任何疑問請(qǐng)給我留言，小編會(huì)及時(shí)回復(fù)大家的。在此也非常感謝大家對(duì)腳本之家網(wǎng)站的支持！