当前位置：首页 > news >正文

Node.js -- 会话控制

news 2025/11/10 22:49:02

文章目录

1. 会话介绍
2. cookie 相关操作
- 2.1 cookie 设置
- 2.2 删除 cookie
- 2.3 获取cookie
3. session 相关操作
4. cookie 和session 的区别
5. 补充知识 -- CSRF跨站请求伪造
6. token

1. 会话介绍

所谓会话控制就是对会话进行控制
HTTP是一种无状态的协议，它没有办法区分多次的请求是否来自于同一个客户端，无法区分用户
而产品中又大量存在的这样的需求，所以我们需要通过会话控制来解决该问题
常见的会话控制技术有三种：

cookie
session
token

2. cookie 相关操作

2.1 cookie 设置

const express = require('express')const router = express()router.get('/set-cookie', (req, res) => { res.cookie('name', 'qingtian')res.send('success')
})router.listen(3000,() => {console.log('go');
})

这种创建路由规则的方式，在浏览器全部窗口关闭之后就不会再出现cookie 值；

七天之内免登录效果：

        res.cookie('name','lisi',{maxAge:30*1000})// maxAge 单位为ms

这种创建路由规则的方式在达到maxAge 时cookie 值才会消失。

2.2 删除 cookie

// 删除cookie 
router.get('/del-cookie', (req, res) => {res.clearCookie('name')res.send('删除成功')
})

2.3 获取cookie

// 获取cookie
router.get('/get-cookie', (req, res) => {console.log(req.cookies);res.send('获取成功')
})

3. session 相关操作

设置session

const express = require('express')
const session = require('express-session')
const MongoStore = require('connect-mongo')const router = express()router.use(session({name: 'sid',secret: 'atguigu',// 参与加密的字符串 也叫做加盐 、签名saveUninitialized: false,// 是否为每次请求都设置一个cookie用来存储session的idresave: true, //是否在每次请求时重新保存sessionstore: MongoStore.create({mongoUrl: 'mongodb://127.0.0.1:27017/test' //数据库的连接配置}),cookie: {httpOnly: true, // 开启后前端无法通过 JS 操作maxAge: 1000 * 300 // 这一条 是控制 sessionID 的过期时间的！！！},
}))// 设置session
router.get('/set-session', (req, res) => {req.session.username = 'wangwu'res.send('设置session')
})router.listen(3000, () => {console.log('go');
})

获取session

// 获取session
router.get('/get-session', (req, res) => {console.log(req.session.username);if (req.session.username) {res.send(`你好${req.session.username}`)} else {res.send('登录 注册')}
})

销毁session

// 销毁session
router.get('/del-session', (req, res) => {req.session.destroy(() => {res.send('销毁session')})
})

4. cookie 和session 的区别

cookie和session的区别主要有如下几点：

存在的位置

cookie: 浏览器端
session: 服务端

安全性

cookie是以明文的方式存放在客户端的，安全性相对较低
session存放于服务器中，所以安全性相对较好

网络传输量

cookie设置内容过多会增大报文体积，会影响传输效率
session数据存储在服务器，只是通过cookie 传递id,所以不影响传输效率

存储限制

刘览器限制单个cookis保存的数据不能超过4K,且单个域名下的存储数量也有限制
session数据存储在服务器中，所以没有这些限制

5. 补充知识 – CSRF跨站请求伪造

现有A,B两个网站，如果B网站发送了一个A网站内部的请求（比如退出登陆操作），那么就出现了CSRF跨站请求伪造；此时对A网站造成了影响，这是我们可以将退出登录的get 请求改为post 请求。

6. token

JWT(JSON Web Token)是目前最流行的跨域认证解决方案，可用于基于token的身份验证
JWT使token的生成与校验更规范
我们可以使用jsonwebtoken 包来操作token

const jwt = require('jsonwebtoken')// 生成token
let token = jwt.sign({username:'zhangsan'
}, 'atguigu', {expiresIn:60,// 单位为s
})console.log(token);// 校验token
let t = jwt.verify(token, 'atguigu', (err, data) => {if (err) {console.log('校验失败');}console.log(data);
})