摘要:如果請求中沒有,這兩個對象都是空的。簽名簽名更適合敏感數據,因為用它可以驗證數據的完整性,有助于防止中間人攻擊。有效的簽名放在對象中。如果這個簽名的值被篡改,那么服務器上對的解簽會失敗,在中輸出的將為。
為什么需要cookie
我們知道http是無狀態的協議,無狀態是什么意思呢?
我來舉一個小例子來說明:比如小明在網上購物,他瀏覽了多個頁面,購買了一些物品,這些請求在多次連接中完成,如果不借助額外的手段,那么服務器是不知道他到底購買了什么的,因為服務器壓根就不知道每次請求的到底是不是小明,除非小明有一個標識來證明他是小明。
所以,網站為了辨別用戶身份,進行 session 跟蹤,cookie出現了。
cookie是什么簡單來說,cookie就是標識。
嚴格來說,cookie是一些存儲在客戶端的信息,每次連接的時候由瀏覽器向服務器遞交,服務器也向瀏覽器發起存儲 Cookie 的請求,依靠這樣的手段,服務器可以識別客戶端。
具體來說,瀏覽器首次向服務器發起請求時,服務器會生成一個唯一標識符并發送給客戶端瀏覽器,瀏覽器將這個唯一標識符存儲在 Cookie 中,之后每次發起的請求中,客戶端瀏覽器都會向服務器傳送這個唯一標識符,服務器通過這個唯一標識符來識別用戶。
說了這么多,打開瀏覽器,我們先來看看這貨吧。
上圖中,就是瀏覽器中存的一個cookie,他的名字叫name,值為abc。
常規cookie光看不過癮,接下來,用node動手來做一個常規cookie吧。
首先,安裝express框架和cookieParser中間件
npm i express --save npm install cookie-parser --save
cookieParser中間件的主要用途如下:
解析來自瀏覽器的cookie,放到req.cookies中;
針對簽名cookie,對cookie簽名和解簽
代碼如下:
var express = require("express"); var cookieParser = require("cookie-parser"); var app = express(); app.use(cookieParser()); app.use(function (req, res) { if (req.url === "/favicon.ico") { return } // 設置常規cookie, 有效期為20s, 客戶端腳本不能訪問它的值 res.cookie("name", "abc", { signed: false, maxAge: 20 * 1000, httpOnly: true }); console.log(req.cookies, req.url, req.signedCookies); res.end("hello cookie"); }) app.listen(4000)
運行后,在瀏覽器中打開 http://localhost:4000/
以chrome為例,f12打開瀏覽器調試工具,在application中的cookies中便能發現你定義的cookie。
req.cookies和req.signedCookies屬性是隨http請求發送過來的請求頭中的Cookie的解析結果。
其中,req.cookies對應的是普通cookie,req.signedCookies對應的是簽名cookie。
如果請求中沒有cookie,這兩個對象都是空的。
簽名cookie更適合敏感數據,因為用它可以驗證cookie數據的完整性,有助于防止中間人攻擊。
有效的簽名cookie放在req.signedCookies對象中。
代碼如下:
var express = require("express"); var cookieParser = require("cookie-parser"); var app = express(); // 設置密鑰,用來對cookie簽名和解簽, Express可以由此確定cookie的內容是否被篡改過 app.use(cookieParser("a cool secret")); app.use(function (req, res) { if (req.url === "/favicon.ico") { return } // 設置簽名cookie, 并且有效期為1min res.cookie("name", "efg", { signed: true, maxAge: 60 * 1000, httpOnly: true }); console.log(req.cookies, req.url, req.signedCookies); res.end("signed cookie"); }) app.listen(4000)
運行后,在瀏覽器中打開 http://localhost:4000/
以chrome為例,f12打開瀏覽器調試工具,在application中的cookies中便能發現你定義的簽名cookie,格式如下:s%3Aefg.7FJDuO2E9LMyby6%2Bo1fGQ3wkIHGB9v1CDVWod8NQVAo
.號左邊是cookie的值,右邊是服務器上用SHA-1 HMAC生成的加密哈希值。
如果這個簽名cookie的值被篡改,那么服務器上對cookie的解簽會失敗,在node中輸出的req.signedCookies將為false。如下:
而如果cookie完好無損地傳上來,那么將會被正確解析:
總結你可以在cookie中存放任意類型的文本數據,但通常是在客戶端存放一個會話cookie,這樣你就能在服務器端保留完整的用戶狀態。
這項會話技術封裝在session中間件中,下一篇我將對express-session中間件進行介紹和說明,感謝您的閱讀,
文章版權歸作者所有,未經允許請勿轉載,若此文章存在違規行為,您可以聯系管理員刪除。
轉載請注明本文地址:http://specialneedsforspecialkids.com/yun/97708.html
摘要:當會話過期或被放棄后,服務器將終止該會話。原來中間件生成的是一個對象,里面包含了信息。這個有一個過期時間,比如,上面代碼中設置的是小時。也就是說,小時后,這個在瀏覽器中會自動消失。 前言 在上一篇中node中的cookie,對cookie進行了相關介紹,本篇將繼續前行,對session進行說明。 session是什么 session不就是會話嘛,那什么是會話呢?會話是一個比連接粒度更大...
摘要:當會話過期或被放棄后,服務器將終止該會話。原來中間件生成的是一個對象,里面包含了信息。這個有一個過期時間,比如,上面代碼中設置的是小時。也就是說,小時后,這個在瀏覽器中會自動消失。 前言 在上一篇中node中的cookie,對cookie進行了相關介紹,本篇將繼續前行,對session進行說明。 session是什么 session不就是會話嘛,那什么是會話呢?會話是一個比連接粒度更大...
摘要:問題今天剛準備用作為后端語言來開發就遇到了一個小坑,網上的資料還是比較的少,于是我決定記錄下來。客戶的信息都保存在中。導致問題出現的原因跨域時保存的數據丟失了因為中使用的是端口,我啟的服務器用的是端口,端口不一樣也就存在著跨域的問題。 問題 今天剛準備用node.js作為后端語言來開發就遇到了一個小坑,網上的資料還是比較的少,于是我決定記錄下來。關于session和cookie我就不做...
閱讀 4913·2023-04-25 18:47
閱讀 2673·2021-11-19 11:33
閱讀 3445·2021-11-11 16:54
閱讀 3101·2021-10-26 09:50
閱讀 2540·2021-10-14 09:43
閱讀 665·2021-09-03 10:47
閱讀 671·2019-08-30 15:54
閱讀 1499·2019-08-30 15:44