express如何使用session与cookie的方法

无状态的http

我们都知道http的请求和响应式相互独立的，服务器无法识别两条http请求是否是同一个用户发送的。也就是说服务器端并没有记录通信状态的能力。我们通常使用cookie和session来确定会话双方的身份。

cookie

cookie 是从服务器端发送的，服务器给不同的用户发送不同的标识，这个标识表示用户的身份，服务器通过客户端发送的这个标识来识别用户的身份，从而查询服务器中的该用户的相关数据，然后发送到该用户。

安装express提供的cookie-parser中间件：

npm i -S cookie-parser

在我们使用的项目页面模块中引入 cookie-parser 插件，然后实例化它，如下：

var cookieParser = require('cookie-parser');var cp = cookieParser(secret, options);

它有两个参数，第一个参数secret，用它可以对cookie进行签名，也就是我们常说的cookie加密。它可以是字符串也可以是数组，如果熟悉加密原理的同学应该知道，这个字符串就是服务器所拥有的密文，第二个参数options包含如下可选参数：

path：指定 cookie 影响到的路径 expires: 指定时间格式 maxAge：指定 cookie 什么时候过期 secure：当 secure 值为 true 时，在 HTTPS 中才有效；反之，cookie 在 HTTP 中是有效。 httpOnly：浏览器不允许脚本操作 document.cookie 去更改 cookie。设置为true可以避免被 xss 攻击拿到 cookie

参考cookie-parser中的例子，实现一个记住访问路径的demo，代码如下：

var path = require('path');var express = require('express');var cookieParser = require('cookie-parser');var app = express();// 使用 cookieParser 中间件;app.use(cookieParser());// 如果请求中的 cookie 存在 isFirst// 否则，设置 cookie 字段 isFirst, 并设置过期时间为10秒app.get('/', function(req, res) {  if (req.cookies.isFirst) {    res.send("再次欢迎访问");    console.log(req.cookies)  } else {    res.cookie('isFirst', 1, { maxAge: 60 * 1000});    res.send("欢迎第一次访问");  }});app.listen(3030, function() {  console.log('express start on: ' + 3030)});

cookie-parser 还可以对Cookie数据进行加密，也就是我们所说的signedCookies。

signedCookies

实现代码如下：

var path = require('path');var express = require('express');var cookieParser = require('cookie-parser');var app = express();// 使用 cookieParser 中间件;app.use(cookieParser('my_cookie_secret'));// cookieapp.get('/', function(req, res) {  if (req.signedCookies.isFirst) {    res.send("欢迎再一次访问");    console.log(req.signedCookies)  } else {    res.cookie('isFirst', 1, { maxAge: 60 * 1000, signed: true});    res.send("欢迎第一次访问");  }});

从上面的代码中我们知道cooke-parser的第一个参数可以指定服务器端的提供的加密密匙，然后我们使用options中的signed配置项可实现加密。虽然这样相对安全，但是客户端的Cookie有局限性，在客户端发送请求时会增加请求头部的数据量，导致请求速度变慢；另外它不能实现数据的共享。