express-session使用理解

本篇主要段落翻译来自https://github.com/expressjs/session

客户端与服务会使用一个Sessionid的Cookie值来进行客户端和服务器端会话的匹配，这个Cookie一般是服务器端读/写的，并在Http请求响应的Header中的Set-Cookie属性设置：

express-session是针对nodejs express框架提供的一套session扩展

主要参数有 secret,sesave,saveUninitialized,cookie

cookie主要属性如下，默认值 { path: '/', httpOnly: true, secure: false, maxAge: null }

domain:设置cookie可以设置的域名，如果没有设置则cookie默认在当前域可以使用

expires:cookie失效时间,可以设置时间,不建议给固定时间,设置maxAge之后自动会生成这个值

例子

//获取当前时间
var date=new Date();
var expireDays=10;
//将date设置为10天以后的时间
date.setTime(date.getTime()+expireDays*24*3600*1000);
//将userId和userName两个Cookie设置为10天后过期
expires:date.toGMTString();

httpOnly：属性禁止客户端JavaScript的访问，禁止后不能使用document.cookie

maxAge：单位毫秒，从设置cookie开始多少毫秒失效

如果maxAge和expires都设置了，最后设置的属性生效.

path：路径，默认值为域名的根路径.

sameSite: SameSite-cookies是一种机制，用于定义cookie如何跨域发送。这是谷歌开发的一种安全机制,未来的一种cookie跨域授权处理方式，不明白的就不用设置了

(Strict是最严格的防护，有能力阻止所有CSRF攻击。然而，它的用户友好性太差，因为它可能会将所有GET请求进行CSRF防护处理。

例如：一个用户在reddit.com点击了一个链接（GET请求），这个链接是到facebook.com的，而假如facebook.com使用了Samesite-cookies并且将值设置为了Strict，那么用户将不能登陆Facebook.com，因为在Strict情况下，浏览器不允许将cookie从A域发送到Ｂ域。

Lax(relax的缩写？)属性只会在使用危险HTTP方法发送跨域cookie的时候进行阻止，例如POST方式。

例1：一个用户在reddit.com点击了一个链接（GET请求），这个链接是到facebook.com的，而假如facebook.com使用了Samesite-cookies并且将值设置为了Lax，那么用户可以正常登录facebok.com，因为浏览器允许将cookie从A域发送到B域。

例2：一个用户在reddit.com提交了一个表单（POST请求），这个表单是提交到facebook.com的，而假如facebook.com使用了Samesite-cookies并且将值设置为了Lax，那么用户将不能正常登陆Facebook.com，因为浏览器不允许使用POST方式将cookie从A域发送到Ｂ域。

)

值true:sameSite使用strict模式

值false:不设置sameSite属性

值lax:sameSite使用lax模式

值strict: sameSite使用strict模式

secure:设置cookie的secure值，默认是不设置任何值

setSecure(true); 的情况下，只有https才传递到服务器端。http是不会传递的。

genid:设置创建session id的自定义函数，默认使用 uid-safe扩展来生成id, 自定义genid创建函数时一定要保证创建的id不要重复。

name :用来设置在response中范围session id是属性值，reuqest中可以用默认的request.session.id访问。默认值为connect.sid

　　　　我用response['connect.sid'] 得不到值，同志仍须努力吧

proxy：代理，通过设置这个值可以设置X-Forwarded-Proto 头，

　　　　值有 true (X-Forwarded-Proto使用),false (所有头信息忽略，只有tls/ssl可以安全连接),undefined(使用trust proxy 设置) 具体大家研究，因为没有整代码大家继续努力实践

resave:是否允许session重新设置，要保证session有操作的时候必须设置这个属性为true

rolling:是否按照原设定的maxAge值重设session同步到cookie中，要保证session有操作的时候必须设置这个属性为true

saveUninitialized:是否设置session在存储容器中可以给修改

　　session过期30分钟，没有人操作时候session 30分钟后过期，如果有人操作，每次以当前时间为起点，使用原设定的maxAge重设session过期时间到30分钟只有这种业务场景必须同行设置resave rolling为true.同时saveUninitialized要设置为false允许修改。

secret:用来注册session id 到cookie中，相当与一个密钥。

store:session存储的实例子，一般可以用redis和mangodb来实现

unset:设置req.session在什么时候可以设置

　　值:destory:请求结束时候session摧毁，值:keep session在存储中的值不变，在请求之间的修改将会忽略，而不保存

方法

req.session

实现实例化

app.use(session({ secret: 'keyboard cat', cookie: { maxAge: 60000 }}))

Session.regenerate()

创建一个session  实例化之后会自动构建session,我暂时没有使用这个的场景

req.session.regenerate(function(err) {
  // will have a new session here
})

Session.destroy()

摧毁一个session，摧毁后会重新生成新的session 多个应用使用通一套session的时候慎用

req.session.destroy(function(err) {
  // cannot access session here
})

　　

Session.reload()

session重新加载，暂时我没有碰到需要重新加载的情况

req.session.reload(function(err) {
  // session updated
})

　　

Session.save()

手动保存一个session,要控制到权限的时候可用到

req.session.save(function(err) {
  // session saved
})

　　

req.session.id

从request中获取sessionId

req.session.cookie

从request中获取session作为令牌的cookie值

Cookie.maxAge

req.session.cookie.maxAge,获取过期时间毫秒数

req.sessionID

只有在session loaded/created时候才可以读到，慎用。

Session Store Implementation

session store的诸多回调，session store必须是事件驱动的而且是具体方法才可以触发，因没有做相关store太多实践，不做太多说明

store.all(callback)

返回一个存储store的数组

store.destroy(sid, callback)

在使用destory/delete 一个session时的回调

store.clear(callback)

delete 一个session时的回调

store.length(callback)

获取session的总长度在一个store中

store.get(sid, callback)

通过sessionid获取一个store事例对象

store.set(sid, session, callback)

自动生成一个sessionid或者调用save 一个session对象时候回调

store.touch(sid, session, callback)

使用touch更新session的时候回调

因翻译水平和实践时间有限，欢迎大家对错误之处指出.thanks