再走NODE路: (篇四)原生node实现 cookie + session + redis 登录验证
关于登录这块应该是每一个系统中都必须的一个环节之一,虽然现在的第三方登录确实很流行,也很安全,但别人的始终是别人的。所以我们今天就来说一下如何使用原生的node实现客户端登录验证
- 关于cookie(仅仅是我的理解): cookie是存储在浏览器的一段字符串,最长限制5kB,它的一些特性如下:
- 跨域不共享: 及在不同的请求域下的cookie的值是不同的
- 格式为键值的形式: 即 “k1=a1; k2=a2; k3=v3”
- 客户端在每次发送http请求时均会携带cookie到服务器
- 服务端可以获取cookie中的信息以及往cookie中写入信息
- 浏览器端js可以操作cookie, 但操作时会有一定的限制
- 说完cookie之后,我们就来数一下nodejs 如何去操作cookie:
在node中可以从 req.headers.cookie 中获取到cookie字符串,对该字符串进行分割解析后便可以得到相应的cookie信息: (这里分割解析就是根据cookie字符串的格式来进行), 如下,我们将cookie字符串解析成对象
// 解析cookie
req.cookie = {
}
const cookieStr = req.headers.cookie
cookieStr.spilt(";").forEach(item => {
if(!item){
return
}
const arr = item.split("=")
const key = arr[0]
const value = arr[1]
req.cookie[key] = value
})
经过如上的解析后我们便将cookie中的键值信息以对象的形式存入到了req.cookie中,后文中我们使用cookie信息便直接到req.cookie中去取得了
而在nodejs 中我们如何操作写入信息到cookie中,可以使用res.setHeader()方法去设置响应头中的cookie信息,如下所示:
res.setHeader('Set-Cookie', `userid=${
userId}; path=/; httpOnly; expires=${
getCookieExpires()};`)
其中Set-Cookie表示我们要往cookie中设置值, userid是我们之后写入到cookie中用于标识用户是否登陆的一段字符, path="/" 表示该cookie在当前的所有路径下均有效, httpOnly 表示的是限制客户端操作和修改cookie中的值, expires="" 用于设置cookie的过期时间,如果不进行设置,则该cookie将永久有效;(其中的getCookieExpires()是我定义的一个用于生成cookie过期时间的一个函数)
- 由上我们介绍的cookie的一些东西,我们便可以这样理解一下登录验证的流程:
客户端发送登录请求完成登录 -> 服务端在返回登录成功时往客户端的cookie中写入一段userid(sid)的用户登录信息,并限制客户端操作修改cookie -> 之后的每一次用户请求时, 服务端均可以根据客户端请求的cookie中是否有这么一段 userid(sid)来判断用户是否已经登录
于是我们可以这样做,在用户访问我们的登录接口时,我们根据用户传递的登录信息,校验正确后往客户端cookie中写入一段userid, 之后的所有接口访问时我们就解析一下cookie中是否有这样一个userid来返回不一样的值: 如下所示:
- 我们首先创建一个全局变量来存储userid所对应的用户信息: (为什么不直接将用户信息存储到cookie中的最大的一个原因是安全问题,避免将用户的信息直接存入到cookie中导致用户信息的泄露)
- 这里我们就先引入一下session的概念(我个人的理解): session是指在服务端存储用户信息, 当客户端中携带userid(sid)请求时,根据这个session中的信息将userid 和对应的用户信息联系起来
// 定义一个全局的对象用于存储session
const SESSION_DATA = {
}
- 根据每次请求的cookie中的信息判断是否登录以及对应用户的信息:
// 由于我们之前完成了对于cookie的解析,所以我们的req.cookie中便有了cookie的数据
let userId = req.cookie.userid
if(userId){
if(!SESSION_DATA[userId]){
SESSION_DATA[userId] = {
} // 判断SESSION_DATA中是否存放由userId对应的信息, 若没有则将其赋值为一个空对象
}
} else {
userId = `${
Date.now()}_${
Math.random()}` // 若userId不存在,则将其赋值为一个任意值: 一般的userId值都是需要经过加密处理的,这里我们为了方便直接就用一串时间戳加一个随机数来代替了
SESSION_DATA[userId] = {
} // 在创建一个userid的同时我们也往SESSION_DATA中存入了该userId的信息
}
// 将SESSION_DATA中的userId对应的信息放到req.session中
req.session = SESSION_DATA[userId]
- 在用户登录成功后,我们便调用res.setHeader()将这个userId写入到客户端的cookie中,并限制客户端修改cookie, 与此同时,将登录后从mysql数据库中获取回来的用户信息记录到SESSION_DATA[userId]
// 这里我就简单仿制一份数据,就不到mysql中去拿了,同时为了避免post请求出现跨域问题,这里我就使用GET请求来模拟,将登录信息放到query中传递
if(req.method === "GET" && req.path === '/api/login'){
const {
username, password } = req.query
if(username === "zhangsan" && password === "123") {
// 这里由于我们上面已经将req.session 和 SESSION_DATA[userId]进行了绑定,所以可以直接往req.session中加入信息
req.session.username = username
res.setHeader('Set-Cookie', `userid=${
userId}; path=/; httpOnly; expires=${
getCookieExpires()};`)
res.end("登录成功")
}
res.end("登录失败")
}
- 这样,在之后每次客户端发起请求时,cookie中均会带上我们写入的userid, 服务端根据这个userid到全局变量的SESSION_DATA中去取得该userid对应的用户信息,并且可以根据这个userid的存在与否判断用户是否已经完成了登录
这里我们引出了新的问题,就是我们不断的将session存入到全局变量SESSION_DATA中,这就存在一个很大的问题: 服务端运行时的变量信息都是存储在进程运行的内存中,所以当不断有用户登录时,SESSION_DATA中存储的信息就会越来越多,而我们知道,一个进行分配的内存空间是很有限的,当进程内存被占用完,进程运行也就崩溃了。 除此之外,还有一个问题是,多进程间的数据信息是无法共享的,所以当一个进程中存储了用户的userid后,当用户进入到另一个服务进程时是无法访问到其userid的
- 那么解决的办法就是使用缓存数据库redis来处理:
redis: (缓存数据库: 更快的访问速度,断电数据丢失, 存储的数据量小等特性)
使用redis解决session储存问题的原因:
- redis和mysql做数据存储一样, 它跟web server服务都是不相关的两个服务,不会互相影响,也就不存在web server进程内存不够的情况
- redis作为缓存数据库,存取数据的速度更快,能够满足频繁操作读取session的需求
- 将session统一的存储到redis中,使得多个进程能够同时访问相同的session
- session中的数据信息不是很大,使用redis也满足存储量小的特性 (不考虑内存扩展集群)
- 首先我们还是简单说一下怎么使用node连接使用redis:
- 电脑上下载并配置好redis, 并启动redis(windows系统下运行redis中的redis-server.exe 和 redis.windows.conf文件即可)
- 安装redis 模块: npm i redis --save
const redis = require('redis')
// 创建客户端连接: 参数1: redis端口, 参数2: 连接的域地址
const redisClient = redis.createClient(6379, '127.0.0.1')
// 监听错误事件
redisClient.on('error', (err) => {
console.log(err)
})
// 测试连接
// 使用set()方法往redis 中存入数据:redis中存储的数据域格式为key-value的形式
/**
* 参数1: 数据的键值(key)
* 参数2: 数据的值(value)
* 参数3: 传递一个redis.print表示数据存储成功后会打印出信息
*/
redisClient.set("myname", "chenshao", redis.print)
// 使用get()方法获取redis中指定键的值(key), 获取是数据是异步的
/**
* 参数1: 需要获取数据的键值(key)
* 参数2: 获取数据成功或者失败时的回调
*/
redisClient.get("myname", (err, val) => {
if(err){
throw err
}
console.log(val)
})
// 退出连接: 使用quit()函数关闭连接
redisClient.quit()
- 到这里我们便可以在每次用户登录成功后,将写入客户端的userid作为redis存储信息的键,将用户信息作为值的形式将该用户的session信息存放到redis中,之后我们直接使用redis中的get()方法根据cookie中的userid到redis中查询用户信息即可:
这里我为大家简单封装一个操作redis的get()和set() 方法
const redis = require('redis')
// 定义配置项,一般项目中均需要抽离出来的,这里我就直接写在这里了
const conf = {
port: 6379,
host: '127.0.0.1'
}
const redisClient = redis.createClient(conf.port, conf.host)
redisClient.on('error', (err) => {
console.log(err)
})
/*
* @params key: 存储的session的key; val: 存储的session的value值
*/
function set(key, val){
if(typeof val === 'object'){
val = JSON.stringify(val)
}
redisClient.set(key, val, redis.print)
}
/**
* @params key: 获取指定session的key值
*/
function get(key){
// 因为获取redis中的数据异步的,所以我们这里作为一个Promise返回
return new Promise((resolve, reject) => {
redisClient.get(key, (err, val) => {
if(err){
reject(err)
return
}
if(val === null){
resolve(null)
return
}
try{
resolve(JSON.parse(val))
} catch (ex) {
resolve(val)
}
})
})
}
module.exports = {
set,
get
}
- 根据我们以上创建的get 和 set 方法,之后我们遍直解调用传入session去进行redis进行存储即可,如此,根据客户端请求cookie中是否有userid信息,redis中是否存储有userid对应的用户信息,根据这些判断我们便基本完成了用户登录验证的东西了
以上代码不完善的地方大家可以自行完成,基本的关键步骤以上是都说到了的,文章中的一些描述错误或者打字错误深感抱歉,也希望大家帮助指正,谢谢