一起看看nodejs中的cookie和session-木庄网络博客

本文摘自PHP中文网，作者青灯夜游，侵删。

本篇文章给大家介绍一下nodejs中的cookie和session。有一定的参考价值，有需要的朋友可以参考一下，希望对大家有所帮助。

Cookie和Session

Session和Cookie都是基于Web服务器的，不同的是Cookie存储在客户端，而Session存储在服务器端。
当用户在浏览网站的时候，Web服务器会在浏览器上存储一些当前用户的相关信息，而在本地Web客户端存储的就是Cookie数据。这样当下次用户再浏览同一个网站时，Web服务器就会先查看并读取本地的cookie资料，如果有cookie就会依据cookie里面的内容并判断其过期时间，从而给用户特殊的数据返回。

cookie的使用很普遍 ―― 许多支持个性化服务的网站，大多都是用cookie来辨认使用者，以方便送出为使用者量身定做的内容，像web接口的免费email。再比如：大多网站支持的“7天免登录”。
具体来说，cookie机制采用的是在客户端保持状态的方案，而session机制采用的是在服务器端保持状态的方案。同时我们也可以看到：由于服务器端保持状态的方案在客户端也需要保存一个标识，所以session机制可能需要借助于cookie机制来达到保存标识的目的。但实际上它还有其他选择。正统的cookie分发是通过扩展HTTP协议来达到的，服务器通过在http的响应头上加上一行特殊的标识，以提示浏览器按照指示生成相应的cookie。然而，纯粹的客户端脚本如JavaScript或者VBScript也可以生成cookie ―― document.cookie='xxx=xxx; expires=xxx'。

cookie是基于session的

cookie的使用却是由浏览器按照一定的原则在后台自动发送给服务器的。浏览器检查所有存储的cookie，如果某个cookie所声明的作用范围大于等于将要请求的资源所在的位置，则可把该cookie附在去请求资源的http请求头上发送给服务器。
Cookie的内容主要包括:名字、值、过期时间、路径和域。路径与域一起构成Cookie的作用范围。若不设置过期时间，则表示这个Cookie的生命期为浏览器会话期间，关闭浏览器窗口，Cookie 就消失。这种生命期为浏览器会话期的Cookie,被称为会话Cookie。会话Cookie一般不存储在硬盘上，而是保存在内存里，当然这种行为并不是规范的。若设置了过期时间，浏览器就会把Cookie保存到硬盘上，关闭后再次打开浏览器，这些Cookie仍然有效，直到超过设定的过期时间。

而对于保存在内存里的Cookie, 不同的浏览器有不同的处理方式。Session机制是一种服务器端的机制，服务器使用类似于散列表的结构(也可能真的使用散列表)来保存信息。当程序需要为某个客户端的请求创建一个 Session 时，服务器首先检查这个客户端的请求里是否已包含了一个Session标识(称为Session id)，如果已包含则说明以前已经为此客户端创建过Session,服务器就按照Session id把这个Session检索出来使用(检索不到，会新建一个)，如果客户端请求不包含Session id,则为此客户端创建一个Session并且生成-一个与此Session相关联的Session id, Session id的值应该是一个既不会重复，又不容易被发现其生成规律的字符串，这个Session id将在本次响应中被返回给客户端保存。保存这个Session id的方式可以采用Cookie，这样在交互过程中浏览器可以自动按照规则把这个标识发送给服务器。一般这个Cookie的名字都类似于SESSID。

Session模块的实现

既然session如此“重要”，我们不妨来看看session模块：
PHP中内置了session方法可供调用，例如session_start以及$_SESSION等。但是原生的Node.js中却没有提供任何session管理的模块，因此我们可以自己实现一个：

根据上面对session和cookie的介绍，我们不难得出其中的逻辑
session生产过程
（其实，服务端检查的是session在浏览器的cookie中有没有对应的session id）

如上图所示，客户端首先会请求Session，而当服务端检查客户端中的Cookie没有相应的Session id时，会通过-一定方式为其生成一个新的Session id, 而如果Cookie中存在该Session id并且没有过期时，则直接返回Session数据。
那么根据如上流程示意图以及介绍，可以为我们需要实现的模块先创建3种方法，分别是start、 newSession和cleanSessions。 start方法主要是启动Session管理，newSession主要是为客户端创建一个新的Session id, 而cleanSessions则是清除Session数据。
本模块应用一个Session数组来存储系统所有的Session, 当有Session id存在时，无需新建Sessionid，而是直接读取返回Session数据；而当Sessionid不存在时，需要创建Session id，并且将Sessionid存储在该客户端的Cookie中。笔者做了一个简单的session校验start，代码如下:

var start = function(req,res){
    var conn = { res: res, req: req };
    var cookies = {};
     
    if(typeof conn.req.headers.cookie !== "undefined"){
        //session存在时，对session进行解析，获取其中的session id
        conn.req.headers.cookie.split(';').forEach(function(cookie){
            var parts=cookie.split('=');
            cookies[ parts[0].trim() ] = (parts[1] || '').trim();
        });
    }else{
        cookies.SESSID = 0;
    }
     
    var SESSID = cookies.SESSID;
    if(typeof sessions[SESSID] !== "undefined"){   //判断服务器中是否存在该session值
        session=sessions[SESSID];
        if(session.expires < Date()){   //如果session过期
            delete sessions[SESSID];
            //session过期或者不存在（下面那个）时，新生成一个session
            return newSession(conn.res);
        }else{
            var dt = new Date();
            dt.setMinutes(dt.getMinutes() + 30);
             
            session.expires = dt;   //重置session过期时间
            return sessions[SESSID];
        }
    }else{
        return newSession(conn.res);
    }
};

以上就是一个session简单的校验过程，主要思路就是通过req对象中的headers获取cookie，并对cookie进行解析获取session id，进而判断是否存在该id值，从而返回或生成新的session。下面我们来看下主要方法newSession的实现：

function newSession(res){
    var chars = "0123456789ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz";
    var SESSID = '';
    for(var i = 0; i < 40; i++){
        var rnum = Math.floor(Math.random()*chars.length);
        SESSID += chars.substring(rnum,rnum+1);
    }
    if(typeof sessions[SESSID] !== "undefined"){
        return newSession(res);   //避免重复session
    }
     
    var dt = new Date();
    dt.setMinutes(dt.getMinutes() + 30);
     
    var session = {
        SESSID,
        expires: dt
    };
    sessions[SESSID] = session;
    //为客户端新增cookie数据（在客户端cookie中保存sessid）
    res.setHeader('Set-Cookie','SESSID=' + SESSID);
    return session;
}

当然，最后就是将整个模块暴露出去：

1	`exports.start=start;`

Session模块的应用

我们可以在入口文件(例如app.js)中require该模块，并在HTTP的createServer函数中调用session.start,并将session.start返回的对象作为一个全局对象存储，代码如下:

var app=http.createServer(function(req,res){
    global.sessionLib = session.start(res,req);
});
//调用时
if(!sessionLib['username']){
    sessionLib['username'] = 'mxc';
}

node框架express中session插件的应用

介绍完基础模块，拿笔者的一个项目来说下框架中相关插件的基本用法 ―― 其实其实现原理与本文所说不差一二。

1	`const` `cookieSession=require('cookie-session');`

(function (){
  var keys=[];
  for(var i=0;i<100000;i++){
    keys[i]='a_'+Math.random();
  }
  server.use(cookieSession({
    name: 'sess_id',
    keys: keys,
    maxAge: 20*60*1000  //20min
  }));
})();

使用时判断：

//检查登录状态
router.use((req, res, next)=>{
  if(!req.session['admin_id'] && req.url!='/login'){ //没有登录且当前不是登录页（避免redirect黑洞）
    res.redirect('/admin/login');
  }else{
    next();
  }
});