cookie、session

cookie：在浏览器保存一些数据，每次请求都会带过来
*不安全、有限(4K)

session：保存数据，保存在服务端
*安全、无限

--------------------------------------------------------------------------------------------------------------

session：基于cookie实现的
*cookie中会有一个session的ID，服务器利用sessionid找到session文件、读取、写入

隐患：session劫持

cookie：

1.cookie空间非常小——省着用

2.安全性非常差——校验cookie是否被篡改过

用法：

a.发送cookie

res.secret='字符串';　　//秘钥,对cookie加密
res.cookie(名字,值,{path: '/',maxAge: 毫秒,signed: true});
// path:路径，maxAge:过期时间，signed:是否加密

b.读取cookie

cookie-parser中间件
server.use(cookieParser('秘钥'));
server.use(function (){
　　req.cookies    未签名版
　　req.signedCookies    签名版
});

c.删除cookie

res.clearCookie(名字);

举例：

const express=require('express');
const cookieParser=require('cookie-parser');

var server=express();

cookie
server.use(cookieParser('wesdfw4r34tf'));

server.use('/', (req,res){
  req.secret='wesdfw4r34tf';
  res.cookie('user','blue',{signed: true});

  console.log('签名cookie：',req.signedCookies)
  console.log('无签名cookie：'res.send('ok'); }); server.listen(8080);

session：

cookie-session中间件

cookieSession（options）

name

要设置的Cookie的名称，默认为session。

keys

用于签署和验证Cookie值的键列表。

secret

如果keys没有提供，将用该字符串做标记。

Cookie Options

其他选项传递给 cookies.get() 和 cookies.set() ，允许你控制secure、path、domain，并签署其他设置。

这些选项还可以包含以下任何内容（有关完整列表，请参阅 cookies模块文档：

• maxAge：表示Date.now()到期的毫秒数
• expires：Date指示Cookie过期日期的对象（默认情况下在会话结束时过期）。
• path：指示cookie路径的字符串（/默认情况下）。
• domain：表示cookie的域的字符串（无默认）。
• sameSite：一个布尔值或字符串，指示cookie是否为“相同站点”cookie（false默认情况下）。这可以设置为'strict'，，'lax'或true（映射到'strict'）。
• secure：一个布尔值，指示cookie是否仅通过HTTPS发送（false默认为HTTP true默认情况下为HTTPS）。如果这样设置，true并且Node.js不是直接通过TLS连接，请务必阅读如何在代理之后设置Express，否则Cookie可能无法正确设置。
• httpOnly：一个布尔值，表示cookie是否仅通过HTTP（S）发送，并且不提供给客户端JavaScript（true默认情况下）。
• signed：一个布尔值，表示cookie是否要被签名（true默认情况下）。如果是这样的话，.sig还会发送一个带附加后缀的同名的另一个cookie ，一个27字节的url-safe base64 SHA1值代表第一个Keygrip键的cookie-name = cookie-value的哈希值。此签名密钥用于在下次接收到Cookie时检测篡改。
• overwrite：一个布尔值，表示是否覆盖以前设置的相同名称的cookie（true默认情况下）。如果这是真的，在设置此Cookie时，将在同一请求中设置相同名称的所有Cookie（不管路径或域）是否从Set-Cookie头部中过滤掉

1.写入

server.use(cookieParser());
server.use(cookieSession({
　　keys: [..,..,..]
}));

2.读取

server.use('/',1)"> (){
　　req.session
});

2.删除

delete req.session
req.session = null

举例：

const express=require('express');
const cookieSession=require('cookie-session'cookie
server.use(cookieParser());
server.use(cookieSession({
  name: 'sess'],maxAge: 2*3600*1000
}));

server.use('/',res){
  if(req.session['count']==null){
    req.session['count']=1;
  }else{
    req.session['count']++;
  }

  console.log(req.session);

  res.send('ok');
});

server.listen(8080);

--------------------------------------------------------------------------------------------------------------