一、session使用
Cookie可以实现浏览器和服务器状态的记录,但Cookie会出现存储体积过大和可以在前后端修改的问题。
为了解决Cookie的数据敏感问题,Session应运而生。常见的实现方式是基于Cookie。只将口令放置Cookie,通过口令实现前后端数据的映射,大部分数据存储于服务器的session中,这里会有一个全局sessions去存储每个用户的session,并设置每个的有效期,一般20分钟。超时则重新生成和更新全局sessions。
以下代码为,在有效期内,判断用户是否第一次登陆。
服务器端:
var http = require('http');
//全局sessions存放所有的session
var sessions = {};
var key = 'session_id';
var EXPIRES = 20 * 60 * 1000; //过期时长
http.createServer(function (req, res) {
req.cookies = parseCookie(req.headers.cookie); //解析客户端的cookie,,暂存在req.cookies上
var id = req.cookies[key]; //取出每个用户唯一的id口令
//更新session状态
if (!id) {
req.session = generate(); //生成新的session
}
else {
var session = sessions[id]; //从全局sessions中取出对应id的session,判断session状态
if (session) {
if (session.cookie.expire > (new Date()).getTime()) {
//更新超时时间
session.cookie.expire = (new Date()).getTime() + EXPIRES;
req.session = session;
}
else {
//超时了,删除旧的数据,重新生成
delete sessions[id];
req.session = generate();
}
}
else {
//sessions中不存在该id的session(id口令匹配错误或客户端保存着id,但服务器端因超时导致session已取消),重新生成
req.session = generate();
}
}
//业务处理,返回客户端
handle(req, res);
}).listen(8888);
//生成新的session,并存储于sessions
var generate = function() {
var session = {};
session.id = (new Date()).getTime() + Math.random(); //id为当前时间加上随机值
session.cookie = {
expire: (new Date()).getTime() + EXPIRES //cookie为当前时间加上超时时长
};
sessions[session.id] = session;
return session; //返回当前新建的session
};
//业务处理
var handle = function (req,res) {
if (!req.session.isVisit) {
sessions[req.session.id].isVisit = true; //修改服务器相应的session状态
res.setHeader('Set-Cookie', serialize(key, req.session.id)); //头部写入session的id
res.writeHead(200, {"Content-Type":"text/html;charset=utf-8"});
res.end("<h1>第一次登陆</h1>");
}
else {
res.writeHead(200, {"Content-Type":"text/html;charset=utf-8"});
res.end('<h1>再次登陆</h1>');
}
}
//解析客户端传来的cookie
var parseCookie = function(cookie) {
var cookies = {};
if(!cookie) { //为空,返回cookies
return cookies;
}
//存在cookie,则解析客户端的cookie,存储于cookies给服务端使用
var list = cookie.split(';'); //将Cookie值:key1=value; key2=value2转变为数组的形式
for(var i = 0; i < list.length; i++) {
var pair = list[i].split('=');
cookies[pair[0].trim()] = pair[1].trim();//trim用于删除字符串头尾的空格
}
return cookies;
}
//格式化cookie
var serialize = function (name, val, opt) {
var pairs = [name + '=' + encodeURIComponent(val)];
opt = opt || {};
if(opt.path) pair.push('Path=' + opt.path); //还可以设置其他选项Domain、Expires等
if (opt.maxAge) pairs.push('Max-Age=' + opt.maxAge); //告诉浏览器多久后过期
return pairs.join(';'); //将数组拼接成用分号连接的字符串
}
服务器端查看:
客户端查看:
当关闭浏览器时,cookie便会消失,可通过maxAge去设置永久时长:
var opt = {};
opt.maxAge = 12000; //设置永久过期时间
res.setHeader('Set-Cookie', serialize(key, req.session.id, opt));
二、session安全性
由于Session的口令保存在客户端,会存在口令被盗用的情况。一种做法是将口令通过私钥加密进行签名。会用到crypto模块。
访问过程为:
- 服务器将加密的口令发送给客户端
- 客户端保存口令
- 客户端每次访问服务器,带着加密口令
- 服务器解析口令,进行业务处理
var crypto = require('crypto');
//加密函数
var sign = function (val, secret) {
return val + '.' + crypto
.createHmac('sha256', secret) //使用给定的sha256哈希函数算法和密钥,返回一个Hmac对象
.update(val+'') //传入需要加密的数据,转换为字符串,更新Hamc
.digest('base64') //base64编码后,返回摘要
.replace(/\=+$/, ''); //将字符串的多个=为结尾部分替换为''
}
//解密函数
var unsign = function(val, secret) {
var str = (val || '').slice(0, (val || '').lastIndexOf('.')); //取得加密前的口令
return sign(str, secret) == val ? str: false; //将取得的口令与服务端的签名加密,比较是否与客户端发来的加密口令匹配
}
使用如下:
在响应头部插入加密口令。
对收到的请求报文的口令进行解密。
客户端:
《深入浅出Node.js》
http://nodejs.cn/api/crypto.html