express4.x 之session使用

也可参照http://blog.csdn.net/code41_codemonkey/article/details/37974651
在express中默认req对象是没有req.session这个属性的（res.session也没有）。经过中间件的处理，为其加上，才能访问到。

var express = require('express');
var session = require('express-session');
var RedisStore = require('connect-redis')(session);
var app = express();
var options = { 
  host: "127.0.0.1", 
  port: "6379", 
  ttl: 60 * 60 * 24 * 30, //Session的有效期为30天
};
// 此时req对象还没有session这个属性
app.use(session({ 
  store: new RedisStore(options), 
  secret: 'express is powerful'
}));
// 经过中间件处理后，可以通过req.session访问session object。比如如果你在session中保存了session.userId，就可以根据userId查找用户的信息了。

req在经过session中间件的时候就会自动完成session的有效性验证、延期/重新颁发、以及对session中数据的获取了。

SessionId就如同请求者的身份证，一旦被攻击者恶意获得，攻击者便可以伪装成请求者对服务器发起请求，也就是我们经常听到的会话劫持(Session/Cookie Hijack)关于会话劫持的原理推荐大家去看这篇文章
基于上述实现方法的Session管理，我认为基本上可以排除
暴力破解SessionId
恶意植入固定SessionId

req.session.cookie 是sessionCookie

两种可能，因为uid的库基本上可以保证SessionId的随机性；而传递SessionId则依赖HTTP请求头中的Cookie信息而非URL，同时在用户登录立刻更换SessionId。
唯一的可能性来源于Session的监听，而对于这种攻击有效的两种防止办法是：
Https很多网站仅仅在Login的阶段使用Https防止用户的用户名、密码信息被监听者获取，但是随后的SessionId同样有可能被监听者获取而伪造登录者的身份信息。因此更加推荐的方式是所有的信息传递全部使用Https实现，这样即使监听着截获了信息也无法破解其中的内容。关于如何使用NodeJS建立一个HTTPS的server可以参考《HTTPS的原理和NodeJS的实现》 这篇文章
httpOnlyExpress在options中提供了httpOnly
的属性，此属性默认值为true
，这个属性保证了Cookie的信息不能够通过JavaScript脚本获取。