Express实现Session身份认证的示例代码
两个月亮 人气:0Cookie
HTTP
HTTP(Hyper Text Transfer Protocol,超文本传输模式)属于无状态协议,在同一个连接中,两个执行成功的请求之间是没有关系的。这就带来了一个问题,用户没有办法在同一个网站中进行连续的交互。例如:
在一个电商网站里,用户把某个商品加入到购物车,切换一个页面后再次添加了商品,这两次添加商品的请求之间没有关联,浏览器无法知道用户最终选择了哪些商品。而使用 HTTP 的标头(请求头及响应头)扩展,HTTP Cookie 就可以解决这个问题。把 Cookie 添加到标头中,创建一个会话让每次请求都能共享相同的上下文信息,达成相同的状态。
Cookie
Cookie 是一段不超过 4KB 的小型文本数据,由一个名称(Name)以及其对应的值(Value)和其它几个用于控制 Cookie 有效期、安全性、使用范围的可选属性组成。
服务器端
如果一个客户是首次登录该网页的,那么在本次登录成功后,服务器端将向客户端发送一个 Cookie ,其中保存了用户的登录信息。
客户端
Cookie 保存了你的登录信息,浏览器会通过域名来划分浏览器中所有的 Cookie。在你访问一个网页时,浏览器会首先查看浏览器中是否存储了与该域名相关的 Cookie。如果存在,则在向该域名发起请求时将携带与该域名相关的所有的未过期 Cookie。
Session
Session 是基于 Cookie 的,但服务器生成的 Cookie 是一段无意义的字符串(称为 SessionID)。在访问网页时你将发送与该网页相关的 Cookie,即 SessionID。服务器端接收到该数据后将在服务器中查询与该 SessionID 相关的 Session 对象并通过该对象中存储的用户信息来决定对该客户端的行为。
Session VS Cookie
- Session 将用户信息存储在服务器端,而 Cookie 将用户信息存储在客户端。因此,Cookie 不适合用于保存重要的数据。
- Session 将用户数据保存在服务器端,这会导致服务器端的工作量增大。
- 攻击者可以通过分析 Cookie 中的数据来进行 Cookie 欺骗。而使用 Session 进行身份认证时,用户的相关信息保存在服务器中,因此不用担心会被欺骗。
Express 实现 Session 身份认证
获取
在 Express 中,如果你希望使用 Session 进行身份认证,你可以通过第三方中间件 express-session 来实现。如果你使用的是 npm(NodeJS Package Manager) 包管理器,那么你可以通过如下命令来下载并安装第三方中间件:
npm install express-session
配置
// 导入第三方提供的 express-session 中间件 const session = require('express-session'); // 配置 express-session 中间件 app.use(session({ secret: 'RedHeart', resave: false, saveUninitialized: true }))
其中:
- app.use() 函数用于将中间件注册为全局中间件。对于客户端发送到服务器端的任意类型的请求,如果该请求中没有包含 Cookie,服务器端将向该客户端发送 Cookie 。
- 对于传递给中间件函数 session() 的参数对象,有:
项目 | 描述 |
---|---|
secret | 用于为生成的 SessionID 进行签名。 |
name | 用于设置发送到客户端的 Cookie 的名称。 |
对于 resave: false 及 saveUninitialized: true 的作用 还没有搞清楚,但网上的相关资料均推荐这样设置。
登录
const express = require('express'); // 导入第三方提供的 express-session 中间件 const session = require('express-session'); const app = express(); // 监听本机 9090 端口 app.listen(9090); // 配置 express-session 中间件 app.use(session({ secret: 'RedHeart', resave: false, saveUninitialized: true })) // 设置登录页面的路由 app.get('/login', (req, res) => { // 判断 GET 请求中的查询字符串中的参数的值是否符合要求 if(req.query.username === 'redheart' && req.query.password === 'twomoons'){ // 将用户信息添加至 Session 中 req.session.user = req.query; // 标记当前用户目前处于登录状态 req.session.isLogin = true; res.send('{ WIN }') }else{ res.send('{ LOSE }'); } })
执行效果
在执行上述代码后,你可以通过访问 http://127.0.0.1:9090/login/?username=redheart&password=twomoons 来进行登录。尝试登录后,若页面中显现字符串 { WIN } ,表明该用户已经登录成功。
主页
向前一个示例中添加如下代码:
// 设置主页路由 app.get('/home', (req, res) => { // 判断客户端的 Session 状态是否为 true // 如果服务器端还未为该客户端分配 SessionID // 则 req.session.isLogin 为 undefined 。 if(req.session.isLogin){ res.send('{ WIN }'); }else{ res.send('{ LOSE }'); } })
执行效果
在通过访问 http://127.0.0.1:9090/login/?username=redheart&password=twomoons 登录成功后,访问 http://127.0.0.1:9090/home 你将于页面中观察到字符串 { WIN }。你可以尝试刷新该页面,你会发现显示的字符串并没有变成 { LOSE },这说明服务器端已经通过 SessionID 记住了你。
退出登录
你可以通过调用 req.session.destroy() 来清除 当前 客户端保存在服务器端的 Session 数据。SessionID 仍保存在客户端浏览器中,但已经失效。
app.get('/logout', (req, res) => { req.session.destroy(); res.send('{ WIN }'); })
代码总汇
const express = require('express'); // 导入第三方提供的 express-session 中间件 const session = require('express-session'); const app = express(); // 监听本机 9090 端口 app.listen(9090); // 配置 express-session 中间件 app.use(session({ secret: 'RedHeart', resave: false, saveUninitialized: true })) // 设置主页路由 app.get('/home', (req, res) => { // 判断客户端的 Session 状态是否为 true // 如果服务器端还未为该客户端分配 SessionID // 则 req.session.isLogin 为 undefined 。 if(req.session.isLogin){ res.send('{ WIN }'); }else{ res.send('{ LOSE }'); } }) // 设置登录页面的路由 app.get('/login', (req, res) => { // 判断 GET 请求中的查询字符串中的参数的值是否符合要求 if(req.query.username === 'redheart' && req.query.password === 'twomoons'){ // 将用户信息添加至 Session 中 req.session.user = req.query; // 标记当前用户目前处于登录状态 req.session.isLogin = true; res.send('{ WIN }') }else{ res.send('{ LOSE }'); } }) app.get('/logout', (req, res) => { req.session.destroy(); res.send('{ WIN }'); })
加载全部内容