当前位置: 首页 > 编程笔记 >

Node.js编程中客户端Session的使用详解

方波娃
2023-03-14
本文向大家介绍Node.js编程中客户端Session的使用详解,包括了Node.js编程中客户端Session的使用详解的使用技巧和注意事项,需要的朋友参考一下

 静态网站很容易扩展。你只需要全部缓存,不需要考虑从不同服务器组合有状态的内容给用户。

可惜,大多数Web应用使用有状态的内容提供个性化体验。如果你的应用可以登录,就需要记住用户的Session。经典的处理方法是客户端设置包含随机唯一Session标识的Cookie,被标识的Session数据保存到服务端。


扩展有状态服务

当扩展服务的时候,你肯定有三种选择:

  1.     不同服务端同步Session数据
  2.     不同服务端连接单点中心(获取Session)
  3.     保证用户访问同一个服务端

但都有缺陷:

  •     同步数据增加性能开销
  •     单点中心降低系统扩展性
  •     如果用户上次访问的服务端需要维护怎么办

然而,如果你换个角度思考,会发现第四种选择:将Session数据保存在客户端


客户端Session

在客户端保存Session有一些优势:

  •     无所谓哪个服务端,Session数据都有效
  •     不需要维护服务端状态
  •     不需要服务端同步
  •     任意添加新的服务端

但是客户端Session存在一个严重问题:你不能保证用户不篡改Session数据。


比如你在Cookie中保存用户的ID。用户很容易修改它,从而访问别人的账户。

这似乎否定了客户端Session的可能,但有一种方法可以巧妙解决这问题:加密打包Session数据(还是存在Cookie中)。这样就不需要担心用户修改Session数据,服务端会验证数据的。

实际应用上,就是Cookie中保存一个加密的Server Key。Server Key验证后才有权利读取和修改Session数据。这就是客户端Session。


Node客户端Session

Node.JS有一个库可以实现客户端Session:node-client-session.它可以代替Connect(一个Node中间件框架)内置的session和cookieParser中间件。

在Express框架应用中的使用:
 

const clientSessions = require("client-sessions"); 
app.use(clientSessions({ secret: '0GBlJZ9EKBt2Zbi2flRPvztczCewBxXK' // 设置一个随机长字符串! })

然后,向req.session对象添加属性:
 

app.get('/login', function (req, res){ req.session.username = 'JohnDoe'; });

读取属性:
 

app.get('/', function (req, res){ res.send('Welcome ' + req.session.username); });

使用reset方法终止Session:
 

app.get('/logout', function (req, res) { req.session.reset(); });

即时注销Persona Session

(注:Persona是Mozzilla推出的网络身份系统)

服务器端Session不同,客户端Session的问题是服务端无法删除Session。

服务器端架构时,你可以删除Session数据。任意的客户端Cookie标识的Session很可能不存在。但客户端架构时,Session数据不在服务端,不能保证Session数据在每个客户端都被删除。换句话说,我们无法同步用户的客户端状态(已经登录)和服务端状态(注销登录)。
 

为了弥补这个缺陷,客户端Session中添加了过期时间。展开Session数据(被加密打包)前验证过期时间。如果过期了,抛弃Session数据并改变用户状态(如注销登录)。

过期机制在很多应用中运行良好(尤其是短过期时间需求)。如在Persona中,当用户发觉密码收到威胁或已经损坏时,我们需要提供方法让用户立即注销Session数据。

这意味着需要保留一点点状态信息在服务后端。我们处理即时注销的方法是添加一个Token在用户数据表和Session数据中。


每次API调用时比对Session数据中的Token和数据库中的Token。如果不相同,返回错误信息并退出用户。

这样会附加多余的数据库操作去查询Token。幸好,大多数的API调用都需要读取用户数据表,把Token一起带上就好了。


 类似资料:
  • 问题内容: 我正在尝试使用以下软件包使用TLS实现node.js mqtt客户端; https://www.npmjs.com/package/mqtt#client 在不使用TLS的情况下运行mqtt客户端的代码如下; 应该如何修改以上代码以在mqtt客户端上使用TLS? mosca MQTT代理是使用以下命令独立运行的; 问题答案: 应该足以将URL 的一部分更改为 。 自签名证书 使用自签名

  • mosca MQTT代理作为独立运行,使用下面的命令;

  • 问题内容: 我可以使用Node.js的SSH客户端与服务器进行通信吗? 问题答案: 用纯JavaScript编写的SSH2客户端模块,用于node.js https://github.com/mscdex/ssh2 还要签出这个包装器 https://github.com/mikeal/sequest

  • 问题内容: 我正在寻找用于node.js的webrtc实现, 以将数据从 nodeJS客户端 传输到另一个webRTC对等方。 因此,在我的情况下,nodejs应用程序 不是 服务器,而是客户端。 是否存在这样的节点模块? 问题答案: 我遇到了同样的问题,偶然发现了这两个瑰宝: https://github.com/helloIAmPau/node-rtc 很遗憾,它缺少任何文档。 但是 http

  • 问题内容: 是否有一个用于node.js的Twitter客户端(不是流式API,即常规API)? 我已经了解了twitter-node,但是我正在寻找一个允许使用Twitter REST API的更通用的客户端。 有人有主意吗? 谢谢, 约翰娜森 问题答案: 签出我的节点模块,它可能就是您想要的。具有完整的Twitter API支持(REST和流API):https : //github.com/

  • 我尝试使用npm中名为eureka-js-client的依赖项,但它总是报告404。我查看了netflix云文档,看到来自Node.js的日志,并看到该服务试图通过URL注册: 虽然eureka服务器位于该端口,但当我试图通过邮递员ping URL时,我总是得到404。我也尝试,但也得到了404。当我通过浏览器转到时,我仍然会得到标准的eureka仪表板,并且所有Spring Boot(eurek