Express.js 中使用 session 实现用户认证的完整流程

在 Web 应用程序中，用户认证是非常常见的需求。为了保护用户数据和确保数据安全，我们必须要在应用程序中实现用户认证。在本篇文章中，我们将学习如何使用 Express.js 中的 session 实现用户认证的完整流程。

什么是 session？

Session 是一种与用户交互的技术，它记录用户的信息并跟踪他们在网站上的状态。每个 Session 都由一个唯一的标识符（Session ID）标识。

Session 基本上是通过 cookie 实现的，cookie 是保存在用户计算机上的小文件，它包含了 Session ID 信息。当用户在应用程序中进行登录操作时，它将创建一个 Session，并将 Session ID 存储到 cookie 中。之后，当用户在访问其他受保护的页面时，应用程序会检查 cookie 中的 Session ID，并使用该 ID 查找相应的用户 Session。

Express 中的 session

Express 中使用了 express-session 模块实现 session 功能。使用该模块，我们可以非常方便地实现用户认证流程。

安装

在项目目录下使用 npm 安装 express-session 模块。

npm install express-session --save

配置

在使用 express-session 模块前，需要先进行一些基本配置。我们需要设置 session 的相关参数，以及 session 存储的方式。

配置示例：

const session = require('express-session');

app.use(session({
  secret: 'your secret key',
  resave: false,
  saveUninitialized: true,
  cookie: { secure: false, maxAge: 60000 },
}));

参数说明：

• secret：用于加密的密钥，建议使用随机字符串。
• resave：当用户操作时，是否重新保存 Session 数据，建议设为 false，以提高性能。
• saveUninitialized：当用户第一次访问时，是否创建 Session，建议设为 true。
• cookie：设置 cookie 的一些参数，比如 secure（是否只能通过 HTTPS 协议访问）、maxAge（Session 的有效期），具体参数详见文档。

使用

在用户登录成功后，将其信息存储到 session 中，并将其 Session ID 存储到 cookie 中。当用户访问受保护的路由时，检查其 Session ID 是否有效，如果有效，允许用户访问，否则重定向到登录页面。

示例代码：

// javascriptcn.com 代码示例
app.post('/login', function(req, res) {
  // 验证用户信息
  // ...

  // 登录成功后，存储用户信息到 session 中
  req.session.user = { id: 1, name: '张三' };

  // 将 Session ID 存储到 cookie 中
  res.cookie('session_id', req.session.id, { maxAge: 60000, httpOnly: true });

  res.redirect('/profile');
});

app.get('/profile', function(req, res) {
  // 如果用户未登录，重定向到登录页面
  if (!req.session.user) {
    return res.redirect('/login');
  }

  // 用户已登录，允许访问受保护的页面
  res.send('Welcome, ' + req.session.user.name);
});

注销

在用户注销时，需要销毁该用户的 Session。

示例代码：

// javascriptcn.com 代码示例
app.get('/logout', function(req, res) {
  // 销毁该用户的 Session
  req.session.destroy();

  // 删除 cookie 中的 Session ID
  res.clearCookie('session_id');

  res.redirect('/login');
});

总结

本篇文章介绍了如何使用 Express.js 中的 session 实现用户认证流程，包括 session 的基本概念、Express 中 session 的配置和使用，以及注销功能实现。希望读者能够借此文章深入理解 Session 的意义，以及 Express.js 中 Session 使用的原理和关键步骤，为应用程序的开发提供更加完善和专业的服务。

来源：JavaScript中文网 ，转载请注明来源 本文地址：https://www.javascriptcn.com/post/6546ecea7d4982a6eb15478f