中间件函数在应用的request--reponse周期中,能够使用request对象(req)、response对象(res)和next函数(next)。能够实现如下功能
- 执行逻辑代码;
- 更改request对象和response对象;
- 结束request--reponse周期;
- 调用栈中的下一个中间件。
tips: 如果当前的中间件函数没有结束request--reponse周期,则必须调用next(),将控制权交给下一个中间件函数,否则请求将被挂起。 执行逻辑代码的中间件的顺序需要在路由handler之前,否则不会执行其代码,因为路由handler会结束掉这个request-response cycle
Express的应用可以使用以下类型的中间件: - 应用级别中间件
- 路由级别中间件
- 错误处理中间件
- 内置中间件
- 第三方中间件
可以使用可选的挂载路径(不配置挂载路径的话默认挂载在根目录下/) 加载应用级别和路由级别的中间件 。也可以加载一系列的中间件函数,这样会在挂载点创建一个中间件系统的子堆栈。
1. 应用级别中间件
将应用级别的中间件绑定到Express实例--app上,使用app.use()和app.METHOD(此METHOD指get、post等方法)
tips: 从一个路由到另一个路由(路由使用app.METHOD或router.METHOD定义的),使用next('route')
app.get('/user/:id', function (req, res, next) {
// if the user ID is 0, skip to the next route
if (req.params.id === '0') next('route')
// otherwise pass the control to the next middleware function in this stack
else next()
}, function (req, res, next) {
// send a regular response
res.send('regular')
})
// handler for the /user/:id path, which sends a special response
app.get('/user/:id', function (req, res, next) {
res.send('special')
})
2. 路由级别中间件
同应用级别的中间件用法相同,不同之处的是它是绑定在router实例(express.Router())上的
tips: 同样也可以使用next('route') 从一个路由到另一个路由(另一个路由使用router.METHOD定义的)
3. 错误处理中间件
与其他中间件函数的定义基本相同,不同之处在于错误处理函数多了一个变量:err,即它有4个变量:err, req, res, next
app.use(function(err, req, res, next) {
console.error(err.stack);
res.status(500).send('Something broke!');
});
tips: next() 传入的参数除了字符串'route'外,其他参数会认为出错,交由错误处理函数处理。若未显式定义错误处理函数,则函数集的末尾有express隐式包含的默认错误处理程序。
4. 内置中间件
express.static()、express.json()、express.urlencoded()等
5. 第三方中间件
如操作cookie的cookie-parser,
读取解析的cookie用req.cookies(读取被签名的cookie用req.signedCookies),读取cookie字符串用express的req.headers.cookie;
设置cookie用express的res.cookie(key, value)或res.header('Set-Cookie', 'key=value');
var express = require('express');
var app = express();
var cookieParser = require('cookie-parser');
app.use('cookieParser ');
app.get('/', function(req, res, next){
console.log(req.cookies); // 解析过的object的形式--{ k1: 'v1', k2: 'v2' }。引入了cookie-parser方可使用
console.log(req.headers.cookie);// string的形式--k1=v1; k2=v2。express原生可以用
res.cookie('key3', 'val3'); // 设置cookie,express原生可以用
res.send('cookie example');
})
tips:使用session可以用express-session中间件,默认是存储在内存中,server重启后会丢失,不适用于生产环境。可以通过设置store参数 将session内容存储在数据库中。
tips:关于安全问题的两点:
- app.disable('x-powered-by'); reponse中不会返回X-Powered-By字段(如果不做设置会返回server的类型,如X-Powered-By: Express,可能导致针对性的攻击);
- 使用session时,将cookie中sessionid的key设置为通用的字符串如sessionID(不设置的话sessionid默认的key为connect.sid),同上一条的原因一样,防止黑客针对你的后台类型进行针对性攻击。
app.use(session({
name : 'sessionId',
resave:false,
saveUninitialized: false
}));
网友评论