前言:
http是一个无状态协议,所以客户端每次发出请求时,下一次请求就无法得知上一次请求所包含的状态数据,那么如何能把一个用户的状态数据关联起来?
1.cookie
一开始,人们采用cookie这门技术来解决这个问题,cookie是http协议中的一部分,它的处理过程如下:
1)服务器像客户端发送cookie
通常采用http协议规定的set-cookie头操作
规范规定cookie的格式为name=value的格式,且必须包含这部分
2)浏览器将cookie保存
3)浏览器每次请求时都会将cookie发给服务器
2.session
采用cookie的方式有一个很大的弊端,cookie中的所有数据再客户端就可以被修改,很不安全,那么一些重要的数据就不能存放在cookie中,于是就产生了session.而session中的数据是保存再服务端的,比较安全.
session通过一个特殊字段来与浏览器的cookie建立连接.
在express中,这个特殊字段默认是connet.sid.当请求到来时,服务端检查cookie中保存的connet.sid中的值,并通过这个值与服务器端的session的数据关联起来.这样浏览器与用户状态数据通过connect.sid这个新的字段来关联,客户端就无法修改保存在session中的用户状态了.
1)session存放方式
session的存放方式,分别是存放在:内存,cookie本身,缓存,数据库(也可以是文件),其中内存的存放方式适用于开发调试,内存的存放方式不方便进程间的共享,大多数应用都是采用缓存的方式来存储cookie.也有使用数据库的方式的,这种方式有一个大的缺点就是速度慢,在小型网站中,比如个人学习项目可以采用.
2)session的redis存储
redis既可以当做数据库来使用,也可以作为缓存来使用.
express中操作session要用到express-session,这个模块的使用方法,session(options),其中options中包含的可选参数主要有:
naem:设置cookie中,保存session的字段名称(默认为connect.sid)
store:session的存储方式,如果不使用该选项,则默认存放再内存中.
cookie:设置存放session id的cookie的相关选项,如果不使用该选项,则默认为:
cookie:
{ path: '/', //表示cookie影响的路径,这里默认影响所有路径
_expires: null, //时间格式
originalMaxAge: null, //cookie保存时间
httpOnly: true } } //一般情况下设置为true(默认)
rolling:每一个请求都重新设置一个cookie,默认为false
resave:及时session没有被修改,也保存session,默认true
如下再redis中存储session:
const express = require('express');
const session = require('express-session');
const RedisStore = require('connect-redis')(session);let app = express()app.use(session({
name: "qqqqqq",
secret: 'wwwww',
store: new RedisStore({
host: '127.0.0.1',
port: 6379
}),
resave: true,
saveUninitialized: true,
cookie:{
'maxAge':6000
}
}))
2)使用mongodb数据库存储session,类似redis
const express = require('express')
const session = require('express-session')
const MongoStore = require('connect-mongo')(session)
....
app.use(session({
name: config.session.key, //设置cookie中保存session id的字段名称
secret: config.session.secret, //通过secret来计算hash值并放在cookie中
cookie: {
maxAge: config.session.maxAge //过期时间,过期后cookie中的session id自动删除
},
store: new MongoStore({ //将session存储到mongodb
url: config.mongodb //mongodb地址
})
}))
....
