express express-session的使用小结

简介

express-session是express中的一个处理session的中间件,可以说是express中最常见的中间件之一了.

由于会话管理依赖cookie的使用,所以它的api中有很多用于控制cookie的部分.

总的来说express-session有如下的特点:

  • session管理(基本功能)
  • cookie签名
  • 可替换持久储存模块

本文中使用的版本为1.15.6.

安装

npm install express-session --save

引入&使用

const express = require('express');
const app = new express();
const expressSession = require('express-session');

// 使用express-session
app.use(expressSession({
  secret:'hello world',// cookie签名 这个属性是必须的 具体配置和`cookie-parser`一样
  saveUninitialized:true, // 是否自动初始化 默认为true
  resave:false,// 当用户session无变化的时候依然自动保存
  cookie:{ // cookie的信息具体操作和`cookie-parser`一样
    maxAge:1800000// 30分钟后过期
  },
  rolling:true// 每次请求的时候覆写cookie
}))

会话简介

在express-session文档中有如下的一句说明:

Note Session data is not saved in the cookie itself, just the session ID. Session data is stored server-side.

Session中包含的数据不会保存在cookie中,仅仅是在cookie中保存了一个SessionId而已.实际的session的数据保存在服务端.

简单理解就是一个Map,键对应的是session id值保存在cookie中,值对应的是用户保存在服务端的数据.

api介绍

参数

创建express-cookie参数基本分为两种.

  • 针对于cookie的设置
  • 针对于express-session的设置

cookie设置一览:

app.use(expressSession({
  secret:'hello world', // cookie 签名必须有否则会报错
  cookie:{
    domain:<参数>,
    expires:<参数>,
    httpOnly:<参数>,
    path:<参数>,
    sameSite:<参数>,
    secure:<参数>,
    maxAge:1800000
  }
}));

而这些对应的参数就是服务端对于cookie的写入参数,至于各个参数是什么意思参考下面的文章:

https://developer.mozilla.org/zh-CN/docs/Web/HTTP/Headers/Set-Cookie

express-session部分设置:

app.use(expressSession({
  secret:'hello world', // cookie 签名必须有否则会报错
  genid:function (request) { // 用于替换掉默认ID生成的函数 第一个参数为reqeust
    return '随机id'
  },
  name:'connect.sid',// 每次响应中向cookie中起始的内容,默认起始为`connect.sid`,
  proxy:true,// 对于cookie使用secure后,在传递的过程中相信反向代理服务器,默认为undefined只相信正向代理
  resave:true,// 在一次会话中无论是否session被改变都会进行强制的储存
  rolling:true,// 在每次会话中的响应中都覆写一次cookie,重置倒计时
  saveUninitialized:true,// 将一个新创建还未修改的会话进行储存,默认为true
  store:object// 一个储存对象,默认使用的是`MemoryStore`这个存储器
  unset:'keep'// 控制没有设置`req.session`时候的行为(使用delete删除或者赋值null),默认'keep'会话期间不会保留,'destroy'会话完成后删除.
}));

方法

request.session上挂载的session对象,除了有你添加的内容外,还有默认的方法存在:

req.session.regenerate(function(err) {
 // 调用这个方法从新生成一个新的会话,完成后触发
})
req.session.destroy(function(err) {
 // 删除这个会话,完成后触发
})
req.session.reload(function(err) {
 // 从新加载session数据,完成后触发回调
})
req.session.save(function(err) {
 // 使用当前内存中的数据保存到储存器中
 // 默认在会话结束的时候就会自动调用这个方法
})
req.session.touch() // 更新cookie中的maxAge,一般不需要手动操作,交由中间件

属性

同样的在session实例上也有很多属性:

req.session.id // 保存唯一的会话id值,不可修改
req.session.cookie // 以键值对的形式保存cookie的原始数据
req.session.cookie.maxAge // 以毫秒的形式返回剩余存活时间
req.sessionID // 保存唯一的会话id,只读

一个简单的例子

一个简单的登录例子:

const express = require('express');
const app = new express();
const expressSession = require('express-session');
const userDb = new Map();
app.use(expressSession({
  secret:'hello world',
  saveUninitialized:true,
  resave:false,
  cookie:{
    maxAge:1800000
  },
  rolling:true,
}));

app.get('/login', (request, response) => {

  const
    id = request.query.id,
    pwd = request.query.pwd;

  if(id && pwd){

    if(userDb.has(id+pwd)){

      response.send('该用户已登录');

    }else{

      request.session.userId = id+pwd;
      userDb.set(id+pwd,id);
      response.redirect('/');

    }

  }else{
    response.send('请输入正确的帐号和密码');
  }

});

app.get('/logout',(request, response)=>{

  const userId = request.session.userId;

  request.session.destroy((err)=>{

    if(err || !userDb.has(userId)){
      response.send('登出失败');
    }else{
      userDb.delete(userId);
      response.send('登出成功');
    }

  });

});

app.get('/',(request, response)=>{
  if(request.session.userId && userDb.has(request.session.userId)){
    response.send(`欢迎回来${userDb.get(request.session.userId)}`);
  }else{

    response.send('还未登录');
  }
});

app.use((request, response) => {
  response.send('404 not found');
});
app.listen(8888, '127.0.0.1');

在浏览器中依次输入以下url来模拟登录行为:

localhost:8888/
localhost:8888/login?id=ASCll&pwd=123456
localhost:8888/
localhost:8888/logout
localhost:8888/

暗坑

我在chrome浏览器下运行上面的例子多次后发现一个问题,浏览器会进行预读取网页来提高性能,也就是说在浏览器中当我url输入到如下的地方时:

localhost:8888/logo

根据我之间多次进入这个页面浏览器会提前访问这个页面localhost:8888/logout,而导致服务器直接删除session等到真正进入到页面的时候已经是第二次加载页面了,导致每次登出都显示失败.

希望有经验的朋友能给出一个合理的解决方案.

注意

express-sessioncookie-parser一起使用的时候对于cookie的签名必须一致.

express-session的存储实例是可以更换的,默认使用MemoryStore只适合于测试和开发使用,生产环境必须要使用其他的储存实例,否则会出现内存碎片问题,在官方文档中给出了已经实现的接口,可以对接redis以及mongodb等数据库.

该列表在官方文档的最后:

npm地址

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持我们。

(0)

相关推荐

  • Express + Session 实现登录验证功能

    1. 写在前面 当我们登录了一个网站,在没有退出登录的情况下,我们关闭了这个网站 ,过一段时间,再次打开这个网站,依然还会是登录状态.这是因为,当我们登录了一个网站,服务器会保存我们的登录状态,直到我们退出登录,或者保存的登录状态过期.那服务器是通过什么存储我们的登录状态的呢? 答案就是 Session ,服务通过 Session 能够记录每个客户端连接的状态.关于 Session 的原理,在这就不多说了,本文主要介绍在 Express 框架中,如何使用 Session 来实现用户登录身份验证.

  • 详解nodejs express下使用redis管理session

    Session实现原理 实现请求身份验证的方式很多,其中一种广泛接受的方式是使用服务器端产生的Session ID结合浏览器的Cookie实现对Session的管理,一般来说包括以下4个步骤: 1.服务器端的产生Session ID 2.服务器端和客户端存储Session ID 3.从HTTP Header中提取Session ID 4.根据Session ID从服务器端的Hash中获取请求者身份信息 使用Express和Redis对Session管理的实现 var session = requ

  • express如何使用session与cookie的方法

    无状态的http 我们都知道http的请求和响应式相互独立的,服务器无法识别两条http请求是否是同一个用户发送的.也就是说服务器端并没有记录通信状态的能力.我们通常使用cookie和session来确定会话双方的身份. cookie cookie 是从服务器端发送的,服务器给不同的用户发送不同的标识,这个标识表示用户的身份,服务器通过客户端发送的这个标识来识别用户的身份,从而查询服务器中的该用户的相关数据,然后发送到该用户. 安装express提供的cookie-parser中间件: npm

  • express+vue+mongodb+session 实现注册登录功能

    主要实现如下功能: 1. 支持注册,登录功能,用户可以注册完成后,进行登录,登录完成后会进入到列表增删改查页面. 2. 支持session会话,也就是说设置了多长时间登录过期,如果用户没有登录,直接进查询列表页面,会重定向到登录页面去,如果用户登录了后,把浏览器关掉,直接输入列表查询页面,会直接进入列表页面的. 3. 列表数据加入了分页功能. 4. 对数据库中的请求加入了日志记录. 先看下效果: 1. 首先服务器重启后,在地址栏中输入 http://localhost:8081/ 后,会重定向到

  • node.js中express-session配置项详解

    官方地址:阅读 作用:用指定的参数创建一个session中间件,sesison数据不是保存在cookie中,仅仅sessionID保存到cookie中,session的数据仅仅保存在服务器端 警告:默认的服务器端的session存储,MemoryStore不是为了生产环境创建的,大多数情况下会内存泄露,主要用于测试和开发环境 接受的参数: cookie:也就是session ID的cookie,默认是{ path: '/', httpOnly: true, secure: false, maxA

  • 详解node.js平台下Express的session与cookie模块包的配置

    首先下载两个模块包 session模块包:用于保持登录状态或保持会话状态等. npm install express-session --save-dev cookie模块包:用于解析cookie. npm install cookie-parser --save-dev 接着在app.js(我在node.js的配置中提到的,也就是服务器主文件)中配置: var session = require("express-session"); var cookie = require(&qu

  • nodejs使用express获取get和post传值及session验证的方法

    本文实例讲述了nodejs使用express获取get和post传值及session验证的方法.分享给大家供大家参考,具体如下: 获取get和post传值 get的传值被放入了一个对象中 req.query post的传值被放入了 req.body 获取方式如获取对象的内容方式一样.比如,前面传入了一个id的值,nodejs获取就可以req.body.id即可 express的session验证 第一步安装cookie和session的模块,并引入 var session = require('

  • Nodejs进阶:express+session实现简易登录身份认证

    文档概览 本文基于express.express-session实现了简易的登录/登出功能,完整的代码示例可以在这里找到. 环境初始化 首先,初始化项目 express -e 然后,安装依赖. npm install 接着,安装session相关的包. npm install --save express-session session-file-store session相关配置 配置如下,并不复杂,可以见代码注释,或者参考官方文档. var express = require('expres

  • node.js 中间件express-session使用详解

    本文介绍的关于node.js中间件express-session的相关内容,分享出来供大家从参考学习,下面来一起看看详细的介绍: 一.为什么使用session? session运行在服务器端,当客户端第一次访问服务器时,可以将客户的登录信息保存. 当客户访问其他页面时,可以判断客户的登录状态,做出提示,相当于登录拦截. session可以和Redis或者数据库等结合做持久化操作,当服务器挂掉时也不会导致某些客户信息(购物车)丢失. 二.session的工作流程: 当浏览器访问服务器并发送第一次请

  • 详解Node.js开发中的express-session

    什么是session session是保存在服务器端的会话.session的典型应用场景是用户登录某网站之后,将其登录信息放入session,在以后的每次请求中查询相应的登录信息以确保该用户合法.比如购物车等等经典场景 为什么要使用session 谈及session一般是在web应用的背景之下,我们知道web应用是基于HTTP协议的,而HTTP协议恰恰是一种无状态协议.也就是说,用户从A页面跳转到B页面会重新发送一次HTTP请求,而服务端在返回响应的时候是无法获知该用户在请求B页面之前做了什么的

随机推荐