Node中的Cookie和Session
1、Cookie
HTTP是无状态协议。例:打开一个域名的首页,进而打开该域名的其他页面,服务器无法识别访问者。即同一浏览器访问同一网站,每次访问都没有任何关系。
Cookie的原理是:客户端浏览器在第一次访问服务器后,服务器返回一段json数据进行标识,此后当客户端浏览器再次访问同一个域时,每次都携带此cookie信息。
特点
- cookie是不加密的,用户可以自由看到;
- 用户可以删除cookie,或者禁用它,未设置失效时间,则默认关闭浏览器后失效
- cookie可以被篡改
- cookie可以用于攻击
- cookie存储量很小。(小于4k)
Cookie具有不可跨域名性。根据Cookie规范,浏览器访问Google只会携带Google的Cookie,而不会携带Baidu的Cookie。Google也只能操作Google的Cookie,而不能操作Baidu的Cookie。
cookie在Node.js中使用:
const cookieParser = require('cookie-parser'); //模块 cookie-parser
const app = express();
app.use(cookieParser()); //中间件
app.get('/',(req,res)=>{
res.send('根路由');
})
app.get('/login',(req,res)=>{
//获取客户端cookies
console.log(req.cookies);
//服务器下发cookie
res.cookie('heaven','666',{
maxAge:900000 //有效时间,毫秒
});
res.send('ok');
})
app.listen(3000);2、Session
服务器需要记录用户的状态,依赖cookie跟踪session,第一次创建session时,服务端会在HTTP协议中告诉客户端,需要在cookie里面记录一个session ID,以后客户端每次请求携带此session ID,服务器就能识别客户端。
特点
- Session不是一个天生就有的技术,而是依赖cookie。当一个浏览器禁用cookie的时候,登录效果消失;或者用户清除了这个cookie,登录也消失;
- session比cookie不一样在哪里呢?session下发的是乱码,并且服务器自己缓存一些东西;下次浏览器带着乱码上来,此时与缓存进行比较,看看是谁?
session在Node.js中使用
/*
session 数据存放在服务端,但索引存放在浏览器,浏览器是根据cookieid识别对应的session
npm i express-session -S 使用session模块
*/
const express = require('express');
const session = require('express-session'); // 解析session的模块 express-session
const app = express();
//启动session的中间件,公式
app.use(session({ //要求客户端设置一个加密的cookie
secret:'heaven', //任意字符都行,给cookie加密
cookie:{maxAge:300000},
resave:true,
saveUninitialized:true,
}))
//中间件是按先后顺序执行的,所以放在前面拦截
app.get('/favicon.ico',(req,res)=>{
return;
})
app.get('/',(req,res)=>{
res.send('你的足迹是'+req.session.lvyou);
})
app.get('/:city',(req,res)=>{
let city = req.params.city;
// console.log(req.session);
let cityArr = req.session.lvyou || [];
cityArr.push(city);
req.session.lvyou = cityArr;
res.send("你今天去了"+city);
})
app.listen(3000);3、区别
- cookie是明码;session是乱码;
- cookie存在客户端浏览器; session存在服务器;
- cookie内存小;session内存大;
本文内容仅供个人学习/研究/参考使用,不构成任何决策建议或专业指导。分享/转载时请标明原文来源,同时请勿将内容用于商业售卖、虚假宣传等非学习用途哦~感谢您的理解与支持!