时间:2021-05-26
静态网站很容易扩展。你只需要全部缓存,不需要考虑从不同服务器组合有状态的内容给用户。
可惜,大多数Web应用使用有状态的内容提供个性化体验。如果你的应用可以登录,就需要记住用户的Session。经典的处理方法是客户端设置包含随机唯一Session标识的Cookie,被标识的Session数据保存到服务端。
扩展有状态服务
当扩展服务的时候,你肯定有三种选择:
但都有缺陷:
然而,如果你换个角度思考,会发现第四种选择:将Session数据保存在客户端
客户端Session
在客户端保存Session有一些优势:
但是客户端Session存在一个严重问题:你不能保证用户不篡改Session数据。
比如你在Cookie中保存用户的ID。用户很容易修改它,从而访问别人的账户。
这似乎否定了客户端Session的可能,但有一种方法可以巧妙解决这问题:加密打包Session数据(还是存在Cookie中)。这样就不需要担心用户修改Session数据,服务端会验证数据的。
实际应用上,就是Cookie中保存一个加密的Server Key。Server Key验证后才有权利读取和修改Session数据。这就是客户端Session。
Node客户端Session
Node.JS有一个库可以实现客户端Session:node-client-session.它可以代替Connect(一个Node中间件框架)内置的session和cookieParser中间件。
在Express框架应用中的使用:
然后,向req.session对象添加属性:
读取属性:
使用reset方法终止Session:
即时注销Persona Session
(注:Persona是Mozzilla推出的网络身份系统)
与服务器端Session不同,客户端Session的问题是服务端无法删除Session。
服务器端架构时,你可以删除Session数据。任意的客户端Cookie标识的Session很可能不存在。但客户端架构时,Session数据不在服务端,不能保证Session数据在每个客户端都被删除。换句话说,我们无法同步用户的客户端状态(已经登录)和服务端状态(注销登录)。
为了弥补这个缺陷,客户端Session中添加了过期时间。展开Session数据(被加密打包)前验证过期时间。如果过期了,抛弃Session数据并改变用户状态(如注销登录)。
过期机制在很多应用中运行良好(尤其是短过期时间需求)。如在Persona中,当用户发觉密码收到威胁或已经损坏时,我们需要提供方法让用户立即注销Session数据。
这意味着需要保留一点点状态信息在服务后端。我们处理即时注销的方法是添加一个Token在用户数据表和Session数据中。
每次API调用时比对Session数据中的Token和数据库中的Token。如果不相同,返回错误信息并退出用户。
这样会附加多余的数据库操作去查询Token。幸好,大多数的API调用都需要读取用户数据表,把Token一起带上就好了。
声明:本页内容来源网络,仅供用户参考;我单位不保证亦不表示资料全面及准确无误,也不保证亦不表示这些资料为最新信息,如因任何原因,本网内容或者用户因倚赖本网内容造成任何损失或损害,我单位将不会负任何法律责任。如涉及版权问题,请提交至online#300.cn邮箱联系删除。
在Node.js中,我们通常使用express-session这个包来使用和管理session,保存服务端和客户端浏览器之间的会话状态。那如何才能实现当用户刷新
在Node.js中,我们通常使用express-session这个包来使用和管理session,保存服务端和客户端浏览器之间的会话状态。那如何才能实现当用户刷新
Linux使用Node.js建立访问静态网页的服务实例详解一、安装node.js运行所需要的环境,:二、创建node目录(/node/www),并在目录下创建n
大家要记住,Node.js主要用于构建高性能、高可伸缩性的服务器和客户端应用,它面向的是“实时Web”。Node.js的目标是提供一个“以简单的方式构建可扩展的
axiosaxios是一个基于Promise的HTTP客户端,专门为浏览器和node.js服务Vue2.0官方推荐使用axios来代替原来的Vuerequest