Node.js编程中客户端Session的使用详解【node.js】

web前端|js教程

Node,Session

web前端-js教程

静态网站很容易扩展。你只需要全部缓存，不需要考虑从不同服务器组合有状态的内容给用户。

b2b网站源码,怎么在vscode打开感叹号,ubuntu 文件夹目录,tomcat分布式代理,sqlite写查询,免费网页设计培训,香港云服务器 试用,时间插件源代码,前端必备框架清单,爬虫笔记本,推荐系统php,厦门seo推广公司,校园二手springboot,php房产网站,web网页抽奖程序,ecshop 模板中写php,新闻后台上传后网页不显示,php实现wap页面,新闻管理系统 java,根据硬件id和程序id生成注册码lzw

可惜，大多数Web应用使用有状态的内容提供个性化体验。如果你的应用可以登录，就需要记住用户的Session。经典的处理方法是客户端设置包含随机唯一Session标识的Cookie，被标识的Session数据保存到服务端。

网站程序源码销售,ubuntu软件源生成,爬虫淘客助手,php宿州,福建seo技术lzw

扩展有状态服务

纸牌记忆游戏 源码,ubuntu崩溃不关机,服务器tomcat部署项目,爬虫搜集网站照片,php菜鸟学习攻略交流教程,粤语说seolzw

当扩展服务的时候，你肯定有三种选择：

不同服务端同步Session数据

不同服务端连接单点中心（获取Session）

保证用户访问同一个服务端

但都有缺陷：

同步数据增加性能开销

单点中心降低系统扩展性

如果用户上次访问的服务端需要维护怎么办

然而，如果你换个角度思考，会发现第四种选择：将Session数据保存在客户端

客户端Session

在客户端保存Session有一些优势：

无所谓哪个服务端，Session数据都有效

不需要维护服务端状态

不需要服务端同步

任意添加新的服务端

但是客户端Session存在一个严重问题：你不能保证用户不篡改Session数据。

比如你在Cookie中保存用户的ID。用户很容易修改它，从而访问别人的账户。

这似乎否定了客户端Session的可能，但有一种方法可以巧妙解决这问题：加密打包Session数据（还是存在Cookie中）。这样就不需要担心用户修改Session数据，服务端会验证数据的。

实际应用上，就是Cookie中保存一个加密的Server Key。Server Key验证后才有权利读取和修改Session数据。这就是客户端Session。

Node客户端Session

Node.JS有一个库可以实现客户端Session:node-client-session.它可以代替Connect（一个Node中间件框架）内置的session和cookieParser中间件。

在Express框架应用中的使用：

const clientSessions = require("client-sessions");

app.use(clientSessions({ secret: GBlJZ9EKBt2Zbi2flRPvztczCewBxXK // 设置一个随机长字符串! })

然后，向req.session对象添加属性：

app.get(/login, function (req, res){ req.session.username = JohnDoe; });

读取属性：

app.get(/, function (req, res){ res.send(Welcome + req.session.username); });

使用reset方法终止Session：

app.get(/logout, function (req, res) { req.session.reset(); });

即时注销Persona Session

（注：Persona是Mozzilla推出的网络身份系统）

与服务器端Session不同，客户端Session的问题是服务端无法删除Session。

服务器端架构时，你可以删除Session数据。任意的客户端Cookie标识的Session很可能不存在。但客户端架构时，Session数据不在服务端，不能保证Session数据在每个客户端都被删除。换句话说，我们无法同步用户的客户端状态（已经登录）和服务端状态（注销登录）。

为了弥补这个缺陷，客户端Session中添加了过期时间。展开Session数据（被加密打包）前验证过期时间。如果过期了，抛弃Session数据并改变用户状态（如注销登录）。

过期机制在很多应用中运行良好（尤其是短过期时间需求）。如在Persona中，当用户发觉密码收到威胁或已经损坏时，我们需要提供方法让用户立即注销Session数据。

这意味着需要保留一点点状态信息在服务后端。我们处理即时注销的方法是添加一个Token在用户数据表和Session数据中。

每次API调用时比对Session数据中的Token和数据库中的Token。如果不相同，返回错误信息并退出用户。

这样会附加多余的数据库操作去查询Token。幸好，大多数的API调用都需要读取用户数据表，把Token一起带上就好了。