一、session使用
Cookie可以實現瀏覽器和服務器狀態的記錄,但Cookie會出現存儲體積過大和可以在前後端修改的問題。
爲了解決Cookie的數據敏感問題,Session應運而生。常見的實現方式是基於Cookie。只將口令放置Cookie,通過口令實現前後端數據的映射,大部分數據存儲於服務器的session中,這裏會有一個全局sessions去存儲每個用戶的session,並設置每個的有效期,一般20分鐘。超時則重新生成和更新全局sessions。
以下代碼爲,在有效期內,判斷用戶是否第一次登陸。
服務器端:
var http = require('http');
//全局sessions存放所有的session
var sessions = {};
var key = 'session_id';
var EXPIRES = 20 * 60 * 1000; //過期時長
http.createServer(function (req, res) {
req.cookies = parseCookie(req.headers.cookie); //解析客戶端的cookie,,暫存在req.cookies上
var id = req.cookies[key]; //取出每個用戶唯一的id口令
//更新session狀態
if (!id) {
req.session = generate(); //生成新的session
}
else {
var session = sessions[id]; //從全局sessions中取出對應id的session,判斷session狀態
if (session) {
if (session.cookie.expire > (new Date()).getTime()) {
//更新超時時間
session.cookie.expire = (new Date()).getTime() + EXPIRES;
req.session = session;
}
else {
//超時了,刪除舊的數據,重新生成
delete sessions[id];
req.session = generate();
}
}
else {
//sessions中不存在該id的session(id口令匹配錯誤或客戶端保存着id,但服務器端因超時導致session已取消),重新生成
req.session = generate();
}
}
//業務處理,返回客戶端
handle(req, res);
}).listen(8888);
//生成新的session,並存儲於sessions
var generate = function() {
var session = {};
session.id = (new Date()).getTime() + Math.random(); //id爲當前時間加上隨機值
session.cookie = {
expire: (new Date()).getTime() + EXPIRES //cookie爲當前時間加上超時時長
};
sessions[session.id] = session;
return session; //返回當前新建的session
};
//業務處理
var handle = function (req,res) {
if (!req.session.isVisit) {
sessions[req.session.id].isVisit = true; //修改服務器相應的session狀態
res.setHeader('Set-Cookie', serialize(key, req.session.id)); //頭部寫入session的id
res.writeHead(200, {"Content-Type":"text/html;charset=utf-8"});
res.end("<h1>第一次登陸</h1>");
}
else {
res.writeHead(200, {"Content-Type":"text/html;charset=utf-8"});
res.end('<h1>再次登陸</h1>');
}
}
//解析客戶端傳來的cookie
var parseCookie = function(cookie) {
var cookies = {};
if(!cookie) { //爲空,返回cookies
return cookies;
}
//存在cookie,則解析客戶端的cookie,存儲於cookies給服務端使用
var list = cookie.split(';'); //將Cookie值:key1=value; key2=value2轉變爲數組的形式
for(var i = 0; i < list.length; i++) {
var pair = list[i].split('=');
cookies[pair[0].trim()] = pair[1].trim();//trim用於刪除字符串頭尾的空格
}
return cookies;
}
//格式化cookie
var serialize = function (name, val, opt) {
var pairs = [name + '=' + encodeURIComponent(val)];
opt = opt || {};
if(opt.path) pair.push('Path=' + opt.path); //還可以設置其他選項Domain、Expires等
if (opt.maxAge) pairs.push('Max-Age=' + opt.maxAge); //告訴瀏覽器多久後過期
return pairs.join(';'); //將數組拼接成用分號連接的字符串
}
服務器端查看:
客戶端查看:
當關閉瀏覽器時,cookie便會消失,可通過maxAge去設置永久時長:
var opt = {};
opt.maxAge = 12000; //設置永久過期時間
res.setHeader('Set-Cookie', serialize(key, req.session.id, opt));
二、session安全性
由於Session的口令保存在客戶端,會存在口令被盜用的情況。一種做法是將口令通過私鑰加密進行簽名。會用到crypto模塊。
訪問過程爲:
- 服務器將加密的口令發送給客戶端
- 客戶端保存口令
- 客戶端每次訪問服務器,帶着加密口令
- 服務器解析口令,進行業務處理
var crypto = require('crypto');
//加密函數
var sign = function (val, secret) {
return val + '.' + crypto
.createHmac('sha256', secret) //使用給定的sha256哈希函數算法和密鑰,返回一個Hmac對象
.update(val+'') //傳入需要加密的數據,轉換爲字符串,更新Hamc
.digest('base64') //base64編碼後,返回摘要
.replace(/\=+$/, ''); //將字符串的多個=爲結尾部分替換爲''
}
//解密函數
var unsign = function(val, secret) {
var str = (val || '').slice(0, (val || '').lastIndexOf('.')); //取得加密前的口令
return sign(str, secret) == val ? str: false; //將取得的口令與服務端的簽名加密,比較是否與客戶端發來的加密口令匹配
}
使用如下:
在響應頭部插入加密口令。
對收到的請求報文的口令進行解密。
客戶端:
《深入淺出Node.js》
http://nodejs.cn/api/crypto.html