关于node中cookie和session使用

HTTP协议的无状态性

1）HTTP协议的通信模型： 基于 请求--处理 ---响应

2）由于这个通信协议的关系，导致了HTTP每次请求之间都是没有关联的。每当一个请求完成之后，服务器就忘记之前谁曾经请求过！

3）我们纯粹基于HTTP通信模型，是无法完成登录状态保持的！每次请求服务器，服务器都会把这个请求当作新请求来处理！

4）我们可以通过cookie技术，实现状态保持，但是由于cookie是存储在客户端的一门技术，所以安全性几乎没有。因此，不要使用cookie存储敏感

的数据。

cookie介绍

什么是cookie，作用是什么？

1）由于HTTP协议是无状态的，且传统的服务器只能被动的响应请求。所以服务器获取到请求的时候，并不知道当前请求是哪个客户端的!

2) 服务器为了能够区分每个客户端，需要使用一些小技术，来根据不同的请求区分不同的客户端。

3）只要有请求发生，那么必然对应一个客户端。在每次客户端发起请求的时候，向服务器自动发送一个标识符，告诉服务器当前是哪个客户端正在请求服务器的数据。

4）如何提供这个标识符号？可以在请求头中添加一个标签，叫做cookie。每次发送请求，都会把这个cookie随同其他报文一起发送给服务器，服务器可以根据报文中的cookie 区分不同的客户端浏览器。

5）如何在客户端请求中添加标识符？

在NODE中可以writeHeader的时候，通过set-cookie来将cookie标识符通过响应报文发送给客户端。

6）客户端也可以通过一些方式来操作自己的cookie,比如： jquery.cookie

cookie的基本使用

var http =  require('http');

var server = http.createServer();

server.on('request',function(req,res)=>{

     //解析cookie

     var cookies ={}

     var cookieStr = req.headers.cookie;

   cookieStr && cookieStr.split(';').forEach(function(item){

         var params = item.split('=');

         cookies[params[0].trim()] = params[1].trim();

})

   res.writeHeader(200,{

    'Content-Type':'text/plain; charset=utf8',

    'Set-Cookie':['issend=ok','age=20']

});

  if(cookie.issend ==='ok'){

      res.end('NO')

}else{

     res.end('yes')

}

})

server.listen(4000,function(){

    console.log('run')

  })

通过expires 设置 cookie的过期时间

 var expiresTime = new Date(Date.now()+1000*60).toUTCString();

res.writeHeader(200,{

    'Content-Type':'text/html; charset=utf-8',

'Set-Cookie':['isvisit=true; expires='+expiresTime]

})

cookie可以被伪造，不安全;

使用谷歌插件 edit  this cookie，就能伪造cookie数据！所以不要使用cookie存储敏感的数据！比如登录状态和登录信息，这些应该存储在服务器端。

什么是Cookie的应用场景：

1）对安全性要求不高

2）不需要存储大量的数据

3） 主用应用场景，是用来做客户端与服务器之间的状态保持技术。

Session登录退出及状态保存

使用express-session来保存登录状态

1）什么是session?

由于HTTP是无状态的，所以服务器在每次连接中持续保存客户端的私有数据此时需要结合cookie技术。通过session 会话机制，在服务器端保存每个http请求的私有数据。

2）session原理

在服务器内存中开辟一块地址空间，专门存放每个客户端的私有数据，每个客户端根据cookie中保持的sessionId，可以获取到session数据。

3）在express中使用session

a)安装session模块

npm install express-session -S

b) 导入session模块

var session = require('express-session');

c)在express中使用session中间件

app.use(session({

    secret:'keyboard cat',//相当于一个加密密钥，值可以是任意字符串

    resave:false,//强制session保存到session store中

    saveUninitialiazed:false //强制没有‘初始化’的session保存到storage中

}))

d)将私有数据保存到当前请求的session会话中

req.session.user = result.dataValues

req.session.islogin = true;

e)通过destroy()方法情况session数据

req.session.destory(function(err){

     if(err) throw err;

     res.redirect('/');

})