摘要:使用的中间件是一个简洁的框架,把许多小功能都拆分成了中间件,用一个洋葱模型保证了中间件丰富的可拓展性,我们要使用来保持登录状态,就需要引用中间件。默认是过期时间,以毫秒为单位计算。自动提交到响应头。默认是是否在快过期时刷新的有效期。
项目要用到登录注册,就需要使用到Cookie和Session来保持登录状态,于是就简单研究了一下Cookie和Session的工作原理
前面已经专门发过一篇帖子记录Cookie和Session的工作原理了,不明白的小伙伴可以看看Cookie、Session是如何保持登录状态的?。
使用Koa的Session中间件Koa是一个简洁的框架,把许多小功能都拆分成了中间件,用一个洋葱模型保证了中间件丰富的可拓展性,我们要使用Session来保持登录状态,就需要引用Session中间件。
安装Koa-Session中间件npm install koa-session --save
如果需要使用TypeScript进行开发,则需要引入对应的TS类型声明
npm install @types/koa-session --save配置Session
Koa-Session需要做一些配置:
const session_signed_key = ["some secret hurr"]; // 这个是配合signed属性的签名key const session_config = { key: "koa:sess", /** cookie的key。 (默认是 koa:sess) */ maxAge: 4000, /** session 过期时间,以毫秒ms为单位计算 。*/ autoCommit: true, /** 自动提交到响应头。(默认是 true) */ overwrite: true, /** 是否允许重写 。(默认是 true) */ httpOnly: true, /** 是否设置HttpOnly,如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 (默认 true) */ signed: true, /** 是否签名。(默认是 true) */ rolling: true, /** 是否每次响应时刷新Session的有效期。(默认是 false) */ renew: false, /** 是否在Session快过期时刷新Session的有效期。(默认是 false) */ };
我们需要关注这几个配置:
renew rolling
这两个都可以在用户访问的过程中刷新有效期,不至于让用户访问过程中Session过期成为未登录状态
signed
这个是对客户端Cookie的签名,也就是用一个特点的字符加密,保证客户端Cookie不会被伪造出来
httpOnly
打开这个使得通过程序(JS脚本、Applet等)无法读取Cookie,大大提高了安全性
maxAge
以ms为单位的过期时间
简单的使用首先理一下思路
判断访问者的Session有没有过登录记录属性
如果有且值为true,则为已登录,否则为未登录
如果为已登录,则不执行判断,直接返回已登录,如果为未登录,则执行下一步登录验证
如果验证成功,则返回的登录成功,并且在它的session中记下登录属性为true,如果验证失败,则返回登录失败。
为了测试方便,以下用Get请求和一个固定的账号密码代替数据库查询,实际开发应该使用POST和数据库比对。同时为了测试方便,将过期时间设置为4000ms,便于快速看到Cookies过期,实际开发应该设置长一些,比如几小时甚至几天,取决于业务需求。
const Koa = require("koa"); // 导入Koa const Koa_Session = require("koa-session"); // 导入koa-session // 配置 const session_signed_key = ["some secret hurr"]; // 这个是配合signed属性的签名key const session_config = { key: "koa:sess", /** cookie的key。 (默认是 koa:sess) */ maxAge: 4000, /** session 过期时间,以毫秒ms为单位计算 。*/ autoCommit: true, /** 自动提交到响应头。(默认是 true) */ overwrite: true, /** 是否允许重写 。(默认是 true) */ httpOnly: true, /** 是否设置HttpOnly,如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 (默认 true) */ signed: true, /** 是否签名。(默认是 true) */ rolling: true, /** 是否每次响应时刷新Session的有效期。(默认是 false) */ renew: false, /** 是否在Session快过期时刷新Session的有效期。(默认是 false) */ }; // 实例化 const app = new Koa(); const session = Koa_Session(session_config, app) app.keys = session_signed_key; // 使用中间件,注意有先后顺序 app.use(session); app.use(ctx => { const databaseUserName = "testSession"; const databaseUserPasswd = "noDatabaseTest"; // 对/favicon.ico网站图标请求忽略 if (ctx.path === "/favicon.ico") return; if (!ctx.session.logged) { // 如果登录属性为undefined或者false,对应未登录和登录失败 // 设置登录属性为false ctx.session.logged = false; // 取请求url解析后的参数对象,方便比对 // 如?nickname=post修改&passwd=123解析为{nickname:"post修改",passwd:"123"} let query = ctx.request.query; // 判断用户名密码是否为空 if (query.nickname && query.passwd) { // 比对并分情况返回结果 if (databaseUserName == query.nickname) { // 如果存在该用户名 // 进行密码比对并返回结果 ctx.body = (databaseUserPasswd == query.passwd) ? "登录成功" : "用户名或密码错误"; ctx.session.logged = true; } else { // 如果不存在该用户名 // 如果用户名不存在 ctx.body = "用户名不存在"; } } else { ctx.body = "用户名密码不能为空"; } } else { ctx.body = "已登录"; } } ); app.listen(3000); console.log("Koa运行在:http://127.0.0.1:3000");
运行一下,控制台输出:
Koa运行在:http://127.0.0.1:3000
访问http://127.0.0.1:3000,可以看到我们没有填写登录参数,然后返回了用户名密码不能空,并且按下F12,点击Cookies再点击http://127.0.0.1:3000,看到了我们的SessionId被记录到了Cookies中,说明Session生效了。
我们静置一会但不刷新页面,再点击Cookies后重新点击,http://127.0.0.1:3000(刷新Cookies显示),发现我们的SessionId不见了,说明我们的过期时间也生效了
我将Cookies的数据截详细一点就是这样的,可以看到有个过期时间:
我们再访问http://127.0.0.1:3000/?nickname=123和http://127.0.0.1:3000/?passwd=123,都输出了
访问http://127.0.0.1:3000/?nickname=123&&passwd=123,输出
访问http://127.0.0.1:3000/?nickname=testSession&&passwd=123,输出
最后尝试正确的用户名密码http://127.0.0.1:3000/?nickname=testSession&&passwd=noDatabaseTest
,输出
尝试再次访问http://127.0.0.1:3000/?nickname=testSession&&passwd=noDatabaseTest
,输出
在有效期限内访问别的页面http://127.0.0.1:3000/,输出
有效期内不断刷新就能保持登录状态
有效期内没有重新操作页面刷新状态就会自然过期
文章版权归作者所有,未经允许请勿转载,若此文章存在违规行为,您可以联系管理员删除。
转载请注明本文地址:https://www.ucloud.cn/yun/104153.html
摘要:最近利用空闲时间写了一个从入门到上线的的实战教程从入门到上线目前还在更新中,入门篇已基本成型。本项目使用语法,采用搭建了一个博客系统,实现了文章管理用户登录注册权限控制分类管理等功能。实现线上部署左手代码右手砖抛砖引玉 最近利用空闲时间写了一个从入门到上线的的node实战教程《Node.js从入门到上线》A blog build with Koa2. 目前还在更新中,入门篇已基本成型。...
摘要:开发总结整体框架搭建是目前世界最火的框架,无论从性能,还是流程控制上,和它的后宫中间件都是非常好的解决方案。 EDU_BOOK 开发总结 KOA2 + Mongodb 整体框架搭建API Koa2是目前Node.js世界最火的web框架,无论从性能,还是流程控制上,koa 2和它的后宫(中间件)都是非常好的解决方案。本文主要koa 2的文档解读和runkoa介绍,让大家对koa 2有一...
摘要:基于构建的服务器脚手架这是一个基于的轻量级脚手架,支持支持使用编写。脚手架可以根据不同的环境配置不同的信息运行价值,支持开发,测试,生产环境的不同参数配置。 #基于webpack构建的 Koa2 restful API 服务器脚手架 这是一个基于 Koa2 的轻量级 RESTful API Server 脚手架,支持 ES6, 支持使用TypeScript编写。 GIT地址:https...
阅读 766·2023-04-25 15:13
阅读 1387·2021-11-22 12:03
阅读 815·2021-11-19 09:40
阅读 1896·2021-11-17 09:38
阅读 1700·2021-11-08 13:18
阅读 647·2021-09-02 15:15
阅读 1758·2019-08-30 15:54
阅读 2622·2019-08-30 11:12