cookie
cookie概念和特点
在我们关闭一个登录过的网址并重新打开它后,我们的登录信息依然没有丢失;当我们浏览了商品后历史记录里出现了我们点击过的商品;当我们推回到首页后,推荐商品也为我们选出了相似物品;事实上当我们有过此类操作后,浏览器会将我们的操作信息保存到cookie上面。阿进而言之,cookie就是储存在用户本地终端上的数据。
Cookie的特点
- cookie保存在浏览器本地,只要不过期关闭浏览器也会存在。
- 正常情况下cookie不加密,用户可轻松看到
- 用户可以删除或者禁用cookie
- cookie可以被篡改
- cookie可用于攻击
- cookie存储量很小,大小一般是4k
- 发送请求自动带上登录信息
Cookie的安装及使用
- 安装
cnpm install cookie-parser --save
- 引入
const cookieParser=require("cookie-parser");
- 设置中间件
app.use(cookieParser());
- 设置cookie
res.cookie("name",'zhangsan',{maxAge: 900000, httpOnly: true});
//res.cookie(名称,值,{配置信息})
domain: 域名
name=value:键值对,可以设置要保存的 Key/Value,注意这里的 name 不能和其他属性项的名字一样
Expires: 过期时间(秒),在设置的某个时间点后该 Cookie 就会失效,如 expires=Wednesday, 09-Nov-99 23:12:40 GMT。
maxAge: 最大失效时间(毫秒),设置在多少后失效 。
secure: 当 secure 值为 true 时,cookie 在 HTTP 中是无效,在 HTTPS 中才有效 。
Path: 表示 在那个路由下可以访问到cookie。
httpOnly:是微软对 COOKIE 做的扩展。如果在 COOKIE 中设置了“httpOnly”属性,则通过程序(JS 脚本、applet 等)将无法读取到COOKIE 信息,防止 XSS 攻击的产生 。
singed:表示是否签名cookie, 设为true 会对这个 cookie 签名,这样就需要用 res.signedCookies 而不是 res.cookies 访问它。被篡改的签名 cookie 会被服务器拒绝,并且 cookie 值会重置为它的原始值。
- 获取
req.cookies.name
前端可以document.cookie
//设置cookie
router.post("/user/login", function(req,res,next){
// 设置cookie
res.cookie("isLogin", true, {
maxAge: 10000,
httpOnly: true
})
res.json({
code:0,
msg:"登录成功"
})
})
//判断cookie
router.get('/', function(req, res, next) {
console.log(req.cookies)
if(req.cookies.isLogin) {
res.render('index.html');
}else {
res.render("user/login")
}
});
cookie加密
cookie加密是让客户端用户无法的获取cookie明文信息,是数据安全的重要部分;一般的我们可以在保存cookie时对cookie信息进行加密,或者在res.cookie中对option对象的signed属性设置设置成true即可。
//一定设置cookie解析中间件
app.use(cookieParser("secret"));
//设置加密cookie
router.post("/user/login", function(req,res,next){
res.cookie("login", "true", {
maxAge:10000,
httpOnly: true,
signed: true// 加密
})
res.json({
code:0,
msg:"登录成功"
})
})
//判断加密cookie
router.get('/', function(req, res, next) {
console.log(req.signedCookies)
if(req.signedCookies.login) {
res.render('index.html');
}else {
res.render("user/login")
}
});
签名原理 app.use(cookieParser("secret"));
Express用于对cookie签名,而cookie-parser则是实现对签名的解析。实质是把cookie设置的值和cookieParser(‘secret’);中的secret进行hmac加密,之后和cookie值加“.”的方式拼接起来。
当option中signed设置为true后,底层会将cookie的值与“secret”进行hmac加密;
如何解析 req.signedCookies
cookie-parser中间件在解析签名cookie时做了两件事:
将签名cookie对应的原始值提取出来
验证签名cookie是否合法
session
session概念和特点
session是另一种记录客户状态的机制,与cookie保存在客户端浏览器不同,session保存在服务器当中;
当客户端访问服务器时,服务器会生成一个session对象,对象中保存的是key:value值,同时服务器会将key传回给客户端的cookie当中;当用户第二次访问服务器时,就会把cookie当中的key传回到服务器中,最后服务器会吧value值返回给客户端。
因此上面的key则是全局唯一的标识,客户端和服务端依靠这个全局唯一的标识来访问会话信息数据。
session本质是cookie升级版,又封装一层,存储数据更多
使用express-session模块来设置session
1.安装express-session
cnpm install express-session --save
2.引入express-session模块
const session=require("express-session");
3.设置session
session(options);
//session中间件
app.use(session({// 配置session中间件
secret:"ssyd",
resave: true,//强制保存session
saveUninitialized: true,//保存初始化session
cookie: {
maxAge: 7*24*60*60*1000,//设置session的有效期7天
}
}))
//登录接口
//登录之后能快速获取用户的 信息
req.session.isLogin = "true";
req.session.username = "小明";
req.session.roler = "admin";
res.json({
code:0,
msg:"登录成功",
})
//主页面路由判断
if(req.session.isLogin) {
res.render('index.html', {name: req.session.username});
}else {
res.render("user/login")
}
网友评论