Web Session 浅入浅出(山东数漫江湖)
使用过几种Web App开发语言和框架,都会接触到Session的概念。即使是一个简单站点访问计数的功能,也常常使用Session来实现的。其他常用的领域还有购物车,登录用户等。但是,对Session一直是一知半解,知其然而不知其所以然。
在认真的研究了HTTP协议,以及nodejs开发栈的express和express-session后,我终于比较有把握深入浅出的说清楚Session了,也算是满足了多年来开发过程中,常常浮现的对Session的好奇心吧。
本文使用nodejs v9.5.0作为技术验证工具。阅读本文前需要了解基础的HTTP知识和Cookie知识。详细需要参考rfc6265,或者阅读《HTTP小书》的最后一章。
会话的概念
用户在网站的一组相互关联的的请求和响应,就是一次会话。简而言之是这样的:
- 会话 = 一组访问
- 访问 = 一次请求和响应
比如一个最简单的nodejs HTTP程序:
var http = require('http')
http.createServer(function(req,res){
res.end('hello')
}).listen(3000)
每个请求都会进入到此处理函数:function(req,res){res.end('hello') }
,在此函数内获得请求,处理响应,完成后发给客户端,就是一次访问。通过浏览器的developer tools,可以看到此次会话的请求内容和响应内容。
以站点计数应用为案例来说明的话,就是这些来自于同样访问者的多次访问,都可以获得当前站点的访问计数。
引入会话
我们从一个案例开始引入会话的概念。当我们需要访问站点计数一类的功能时,我们希望用户访问此站点时:
- 第一次访问时,显示你的访问次数为1
- 以后每次访问时,访问计数加1
此种情况下,我们需要有一个地方存储当前计数,这样才能在同一个客户在此访问时,可以取出当前计数,加一后返回给客户。当然也因此需要识别此用户(浏览器),为每个用户单独计数。就是说,不同的用户访问时,需要去取对应用户的当前计数。
识别客户的问题,常用的方法就是使用Cookie。Cookie是HTTP协议的一部分。HTTP可以通过头字段Set-Cookie为来访客户做一个标记,这个标记常常就是一个ID,下一次访问此站点时,HTTP会通过Cookie头字段,发送此ID到站点,由此站点知道此客户的身份和这个身份关联的状态信息,比如当前访问计数,或者此身份当前的购物车的内容等等。
识别了客户后,就可以在Web服务器内,为此客户建立它的独特的状态信息。
实现一个会话
基于nodejs HTTP模块,我们实现一个极为简单的Session服务。只是为了展示概念,而不是为了实用的目的。此服务可以实现一个共享于同一站点的多次访问的req.session变量,此变量为一个对象,可以在此变量内写入新的成员,或者修改现存的成员变量的值,每次访问后会保存req.session,以便下次访问可以得到当前的值:
var http = require('http')
var sessionkey = "sessionkey3"
http.createServer(function(req,res){
if (req.url =="/"){
session(req,res)
req.session.count = (req.session.count+1) || 1
res.end('hi'+req.session.count)
}else
res.end('')
}).listen(3000)
console.log('listen on 3000')
function session(req,res){
if (req.session)
return
var answer ,id
if(isSessionOk(req)){
id = getCookie(req)
answer = getSessionById(id)
}else{
answer= {}
id = createSession(answer)
setCookie(res,id)
}
req.session = answer
res.on('finish', function() {
saveSession(id,req.session)
});
}
function hasCookie(req){
return (getCookie(req)!='')
}
function getCookie(req){
try{
var c = req.headers['cookie']
var arr = c.split(';')
for (var i = 0; i < arr.length; i++) {
var kv = arr[i]
var a = kv.split('=')
if (a[0].trim() == sessionkey)
return a[1]
}
}catch(error){
return ''
}
return ''
}
function setCookie(res,id){
res.setHeader("set-cookie",sessionkey +"="+id)
}
var sessions = {}
var sid = 0
function getSessionById(sid){
return sessions[sid]
}
function getSessionByReq(req){
var sid = getCookie(req)
return sessions[sid]
}
function createSession(session){
sessions[sid++,session]
return sid
}
function saveSession(sid,session){
sessions[sid] = session
}
function isSessionOk(req){
return hasCookie(req) && getSessionByReq(req) !== undefined
}
程序代码比较简单,读者可以保持它到index.js,然后执行此程序,验证概念:
node index.js
然后,启动chrome,访问站点localhost:3000
,然后多次刷新,你可以看到每次刷新,返回的访问次数逐步累加。在打开另一个浏览器,比如safari,在此访问此站点,你会发现返回的访问计数从1开始,另外计数。因为是两个不同的浏览器内器,这就保证的它们是不同的访问客户,在站点内的代码,会区别两者,分别记录它们的状态信息。
代码使用了HTTP Cookie,基本算法很简单:
- 如果Session没有准备好,那么创建一个Session,得到Session的ID,把此ID通过Set-Cookie发送给浏览器。浏览器会在下一次访问此站点时,发送此ID。
- 如果Session已经准备好了,也就是说,浏览器通过Cookie发来了ID,并且通过此ID,可以在站点内获取到Session
- 把创建或者获取的Session赋值给req对象
- 在请求处理函数生命周期内,可以获取和修改Session对象
- 在请求处理完后,保存此Session变量
可能大家看到sessionkey这个变量,感觉有些莫名其妙。原因是每次cookie发送,同样的站点可能有多个框架需要使用此cookie头字段,比如php,aspx,jsp等都是需要使用了,为了好像不要冲突,大家各自使用cookie头字段内各自的key/value对即可。比如php的key默认是phpsessid,express-session默认的是connect.sid。
总结
此代码演示了最基础的Session的概念,但是远远不是一个可用的模块,想要真实世界中使用的Session模块,可以考虑express-session。
实现一个真正可以的会话,还需要考虑很多问题:
- 本文中使用是Session Id其实就是一个自增的整数。这会导致客户端欺骗,黑客可以猜到SessionID,使用伪造的SessionID获得服务器内对应的状态数据,或者伪造登录从而获得更高权限。真实的产品,一般是创建一个保证唯一的,不易猜测出来的字符串。
- 本文中的Session每次end后会必然保存,而不管此Session是否修改。实际的产品,是需要考虑此优化的。同时,也需要考虑到Session的失效期,到了失效期就会销毁,因为有些客户可能来一次两次也后再也不来访问了,没有必要为他们保存状态信息,如果再来了,不妨重新创建会话即可。
- 本文的Session保存在内存中,一旦重启,所有会话都会丢失。实际产品中,是需要支持持久化的保存的,比如保存到mysql数据库内,redis内,mongodb内等等。因此需要数据持久化的多提供者的方案。
Web Session 浅入浅出(山东数漫江湖)的更多相关文章
- 重新学习MySQL数据库2:『浅入浅出』MySQL 和 InnoDB
重新学习Mysql数据库2:『浅入浅出』MySQL 和 InnoDB 作为一名开发人员,在日常的工作中会难以避免地接触到数据库,无论是基于文件的 sqlite 还是工程上使用非常广泛的 MySQL.P ...
- 『浅入浅出』MySQL 和 InnoDB
作为一名开发人员,在日常的工作中会难以避免地接触到数据库,无论是基于文件的 sqlite 还是工程上使用非常广泛的 MySQL.PostgreSQL,但是一直以来也没有对数据库有一个非常清晰并且成体系 ...
- Spring浅入浅出——不吹牛逼不装逼
Spring浅入浅出——不吹牛逼不装逼 前言: 今天决定要开始总结框架了,虽然以前总结过两篇,但是思维是变化的,而且也没有什么规定说总结过的东西就不能再总结了,是吧.这次总结我命名为浅入浅出,主要在于 ...
- Spring注解浅入浅出——不吹牛逼不装逼
Spring注解浅入浅出——不吹牛逼不装逼 前情提要 上文书咱们说了<Spring浅入浅出>,对Spring的核心思想看过上篇的朋友应该已经掌握了,此篇用上篇铺垫,引入注解,继续深入学习. ...
- Spring MVC浅入浅出——不吹牛逼不装逼
Spring MVC浅入浅出——不吹牛逼不装逼 前言 上文书说了Spring相关的知识,对Spring来了个浅入浅出,大家应该了解到,Spring在三层架构中主做Service层,那还有Web层,也就 ...
- 浅入浅出EmguCv(三)EmguCv打开指定视频
打开视频的思路跟打开图片的思路是一样的,只不过视频是由一帧帧图片组成,因此,打开视频的处理程序有一个连续的获取图片并逐帧显示的处理过程.GUI同<浅入浅出EmguCv(二)EmguCv打开指定图 ...
- 浅入浅出EmguCv(一)OpenCv与EmguCv
最近接触计算机视觉方面的东西,于是准备下手学习opencv,从官网下载windows的安装版,配置环境,一系列步骤走完后,准备按照惯例弄个HelloWord.也就是按照网上的教程,打开了那个图像处理领 ...
- 浅入深出之Java集合框架(上)
Java中的集合框架(上) 由于Java中的集合框架的内容比较多,在这里分为三个部分介绍Java的集合框架,内容是从浅到深,如果已经有java基础的小伙伴可以直接跳到<浅入深出之Java集合框架 ...
- 浅入深出之Java集合框架(中)
Java中的集合框架(中) 由于Java中的集合框架的内容比较多,在这里分为三个部分介绍Java的集合框架,内容是从浅到深,如果已经有java基础的小伙伴可以直接跳到<浅入深出之Java集合框架 ...
- 浅入深出之Java集合框架(下)
Java中的集合框架(下) 由于Java中的集合框架的内容比较多,在这里分为三个部分介绍Java的集合框架,内容是从浅到深,哈哈这篇其实也还是基础,惊不惊喜意不意外 ̄▽ ̄ 写文真的好累,懒得写了.. ...
随机推荐
- II 3.1 连接到服务器
II 3.1 连接到服务器 package socket; import java.io.IOException; import java.io.InputStream; import java.ne ...
- iOS- 网络请求的两种常用方式【GET & POST】的区别
GET和POST 网络请求的两种常用方式的实现[GET & POST] –GET的语义是获取指定URL上的资源 –将数据按照variable=value的形式,添加到action所指向的URL ...
- hadoop2.5.2学习及实践笔记(五)—— HDFS shell命令行常见操作
附:HDFS shell guide文档地址 http://hadoop.apache.org/docs/r2.5.2/hadoop-project-dist/hadoop-common/FileSy ...
- 工具函数:cookie的添加、获取、删除
cookie是浏览器存储的命名数据,作用是保存用户的信息,这样我们就可以用这些信息来做一些事了,但是cookie容量很小,只有4kb. 下面是我总结的cookie的添加.获取.删除的函数: cooki ...
- 这些JavaScript编程黑科技,装逼指南,高逼格代码,让你惊叹不已
Javascript是一门很吊的语言,我可能学了假的JavaScript,哈哈,大家还有什么推荐的,补充送那啥邀请码. 本文秉承着:你看不懂是你SB,我写的代码就要牛逼. 1.单行写一个评级组件 &q ...
- php中的<?= ?>替换<?php echo ?>
首先修改PHP.ini文件.如下: 1. 将short_open_tag = Off 改成On 开启以后可以使用PHP的短标签:<? ?> <?= $test ?>来代替 &l ...
- 再看perf是如何通过dwarf处理栈帧的
从结构体stack_dump入手, util/unwind-libunwind-local.c 中有函数access_mem #0 access_mem (as=0x1f65bd0, addr=140 ...
- 【bzoj1609】[Usaco2008 Feb]Eating Together麻烦的聚餐 dp
题目描述 为了避免餐厅过分拥挤,FJ要求奶牛们分3批就餐.每天晚饭前,奶牛们都会在餐厅前排队入内,按FJ的设想所有第3批就餐的奶牛排在队尾,队伍的前端由设定为第1批就餐的奶牛占据,中间的位置就归第2批 ...
- asp.net AES加密跟PHP的一致,将加密的2进制byte[]转换为16进制byte[] 的字符串获得
<?php class AESUtil { public static function encrypt($input, $key) { $size = mcrypt_get_block_siz ...
- [洛谷P4312][COCI 2009] OTOCI / 极地旅行社
题目大意:有$n(n\leqslant3\times10^4)$个点,每个点有点权,$m(m\leqslant3\times10^5)$个操作,操作分三种: $bridge\;x\;y:$询问节点$x ...