session认证机制

HTTP 协议的无状态性

了解 HTTP 协议的无状态性是进一步学习 Session 认证机制的必要前提。

HTTP协议的无状态性，指的是客户端的每次 HTTP 请求都是独立的，连续多个请求之间没有直接的关系，服务器不会主动保留每次 HTTP 请求的状态。

Cookie 是存储在用户浏览器中的一段不超过 4 KB 的字符串。
它由一个名称(Name)、
一个值 (Value)和其它几个用
于控制 Cookie 有效期、安全性、使用范围的可选属性组成。

不同域名下的 Cookie 各自独立，每当客户端发起请求时，会自动把当前域名下所有未过期的 Cookie 一同发送到服务器。

cookie特点：

• 自动发送
• 域名独立
• 过期时限
• 4KB 限制

Cookie在身份认证中的作用
客户端第一次请求服务器的时候，服务器通过响应头的形式，向客户端发送一个身份认证的 Cookie，客户端会自动将 Cookie 保存在浏览器中。

随后，当客户端浏览器每次请求服务器的时候，浏览器会自动将身份认证相关的 Cookie，通过请求头的形式发送给服务器，服务器即可验明客户端的身份。

Cookie 不具有安全性

提高身份认证的安全性

为了防止客户伪造会员卡，收银员在拿到客户出示的会员卡之后，可以在收银机上进行刷卡认证。只有收银机确认存在的
会员卡，才能被正常使用。

section工作原理

在Express 中使用 Session 认证

在 Express 项目中，只需要安装 express-session 中间件，即可在项目中使用 Session 认证:

npm install express-session

配置 express-session 中间件
express-session 中间件安装成功后，需要通过 app.use（） 来注册 session 中间件

// 1.导入session中间件
const session=require('express-session');

// 2.配置Session中间件
app.use(session({
    secret:'keyboard cat',//可以是任意字符串
    resave:false, //固定写法
    saveUninitialized:true //固定写法
}));