Express.js 中 session 的使用方法和注意事项

阅读时长 8 分钟读完

Express.js 中 session 的使用方法和注意事项

Express.js 是一个流行的 Web 应用程序框架,提供了一种在 Node.js 上构建 Web 应用程序的简单方法。在使用 Express.js 构建应用程序时,Session 是一个经常使用的功能,用于在 Web 应用程序中保存用户状态信息,例如登陆状态、购物车内容等。

本文将介绍 Express.js 的 session 功能,包括如何使用它、如何配置它、如何保护它、以及一些注意事项。

Session 是什么?

Session 是一个在 Web 应用程序中保存用户状态信息的技术。它使用一个唯一的标识符(称为 Session ID)来跟踪用户,并在服务器上存储与该标识符相关联的状态信息。Session ID 可以在 cookie 中存储,也可以在 URL 查询参数或 HTTP 首部中传递。

在 Express.js 中,session 功能是通过中间件实现的。具体来说,您需要使用一个称为 express-session 的依赖项。通过使用这个依赖项,您可以轻松地将 session 功能添加到 Express.js 应用程序中。

如何使用 session?

首先,您需要安装 express-session。使用以下命令:

接下来,在 Express.js 应用程序中添加以下代码:

以上代码将向 Express.js 应用程序添加 session 中间件。在这个例子中,我们使用了一个称为 "my_secret_key" 的字符串作为 session 的加密密钥。您应该在生产环境中使用一个随机生成的复杂字符串作为密钥。

这里还使用了两个选项,分别是 resave 和 saveUninitialized。resave 表示每次请求结束时,无论 session 是否被修改,都强制将其保存回存储器。saveUninitialized 表示是否在存储器中保存未初始化的 session。

现在,您可以在 Express.js 应用程序中使用 session 了。以下是一个示例:

-- -------------------- ---- -------
------------ ------------- ---- -
  -- - ------- ------
  ----- -------- - ---------------------

  -- ---------- -
    ---------------- ---------------
  - ---- -
    ---------------- ---------
  -
---

------------------ ------------- ---- -
  -- - ---- -----------
  ----- -------- - ------------------
  ----- -------- - ------------------

  -- ------------
  -- --------- --- ------- -- -------- --- --------- -
    -- ------- ------- -
    -------------------- - ---------
    --------------- -----------
  - ---- -
    --------------- ----------
  -
---

在上面的代码中,我们创建了一个 GET 请求处理程序和一个 POST 请求处理程序。GET 请求处理程序会检查 session 中是否有一个叫做 "username" 的变量。如果有,它会打印出 "Hello, username!"。否则,它会打印出 "Please login."。

POST 请求处理程序会从 POST 请求中获取用户名和密码,并进行身份验证。如果验证成功,它会将用户名保存到 session 中,并返回 "Login success!"。否则,它返回 "Login failed!"。

如何配置 session?

您可以根据自己的需求配置 session。以下是一些常见的配置选项:

  • cookie:用于定义 session ID 的 cookie 选项
  • name:用于定义 cookie 名称的选项,默认为 'connect.sid'
  • saveUninitialized:用于设置是否在未初始化的情况下保存 session
  • resave:用于设置在每个请求结束时是否强制保存 session

以下是一个示例:

-- -------------------- ---- -------
-----------------
  ----- ---------
  ------- -
    ------- ---- - -- - -- - -- - --  -- -----
    ------- ----  -- --- -----
  --
  ------- ----------------
  ------- ------
  ------------------ -----
----

在上面的代码中,我们使用了一个名为 "my_sid" 的 cookie 名称,并设置了一个有效期为一周,并且只能通过 HTTPS 访问。

为了使 session 更加安全,您还可以设置以下选项:

  • cookie.httpOnly:禁止客户端 JavaScript 访问 cookie
  • cookie.sameSite:防止 CSRF 攻击

以下是一个示例:

Session 的注意事项

在使用 session 时,有一些注意事项需要注意。以下是一些常见的问题和解决方法:

Session 存储器

默认情况下,Express.js 使用内存存储器来存储 session。如果您的应用程序需要处理大量的 session,这会很快耗尽服务器的内存。为了解决这个问题,您可以使用外部存储器,例如 Redis 或 MongoDB。

使用 Redis 作为 session 存储器的示例:

-- -------------------- ---- -------
----- ------- - ---------------------------
----- ----- - -----------------
----- ---------- - ----------------------------------

----- ----------- - ---------------------

-----------------
  ------ --- ------------ ------- ----------- ---
  -- ---
----

使用 MongoDB 作为 session 存储器的示例:

-- -------------------- ---- -------
----- ------- - ---------------------------
----- ---------- - ----------------------------------
----- -------- - --------------------

----------------------------------------------

----- -- - --------------------

-----------------
  ------ --- ------------
    ------------------- ---
    ---- -- - -- - -- - -  -- -----
  ---
  -- ---
----

Session ID 安全

Session ID 很容易被劫持,从而导致 CSRF 或 XSS 攻击。为了强化 Session ID 的安全性,您可以使用以下方法:

  • 使用随机生成的密钥来加密和签名 session
  • 限制 session 共享在同一域名下
  • 在有可能泄漏 session ID 的地方使用 HTTPS 来传输数据

避免重复登录

如果应用程序没有正确处理 session,可能会发生用户在登陆后,清除了浏览器缓存,再次访问网站,导致需要重新登录的情况。

为了避免这种情况,您可以在用户成功登录后,将 session ID 与 IP 地址关联起来。当收到请求时,检查 session ID 和 IP 地址是否匹配。如果不匹配,拒绝访问。

以下是一个示例:

-- -------------------- ---- -------
------------------ ------------- ---- -
  -- ---

  -- - ------- -- - -- ------
  -------------- - -------

  -- ---
---

--------------------- ---- ----- -
  -- -- ------- -- - -- ------
  -- --------------- --- ------- -
    ----------------------
    -----------------------
  - ---- -
    -------
  -
---

结论

在本文中,我们介绍了 Express.js 的 session 功能,以及如何使用、配置以及保护它。不管您是在开发简单的网站,还是在构建复杂的 Web 应用程序,session 都是不可或缺的功能,用来存储和管理用户状态信息。

在使用 session 时,一定要注意安全问题,并根据需求配置适当的存储器和选项。最后,希望本文对您有所帮助!

来源:JavaScript中文网 ,转载请注明来源 https://www.javascriptcn.com/post/67079e35d91dce0dc86accaf

纠错
反馈