×
广告

【深入浅出NodeJS】Cookie&Session机制详解#1

96
苏星河
2015.10.23 14:26* 字数 883

1.初识Cookie

Cookie最早由Lou Montulli在网景公司开发的Netscape浏览器的第一个版本时发明,它能记录服务器和客户端之间的状态,最初用来判断用户是否第一次访问网站。

Cookie实际上是一小段的文本信息。客户端请求服务器,如果服务器需要记录该用户状态,就使用response向客户端浏览器颁发一个Cookie。客户端浏览器会把Cookie保存起来。当浏览器再请求该网站时,浏览器把请求的网址连同该Cookie一同提交给服务器。服务器检查该Cookie,以此来辨认用户状态。服务器还可以根据需要修改Cookie的内容。

Cookie值的格式是key=value形式的,它还具有其他几个常用的属性。

Cookie属性

  • path:表示这个Cookie影响到得路径
  • Expires&Max-Age:用来告知浏览器这个Cookie何时过期,如果不设置这个属性,关闭浏览器后会丢失这个Cookie。Expires值是一个UTC格式的时间字符串,用于告知浏览器这个Cookie过期的具体时间;Max-Age则表示Cookie的最大生命周期,告知浏览器Cookie多久之后过期,而不是一个具体的时间。
  • HttpOnly:告知浏览器不允许通过document.cookie去更改Cookie值
  • Secure:当Secure值为true时,表示创建的Cookie只能在HTTPS连接中被浏览器传递到服务器端进行验证。

下面将演示如何利用Cookie判断用户的访问状态:

客户端发送的Cookie在请求报文的Cookie字段中,我们需要Cookie的话,首先要解析它。

 var parseCookie = function(cookie) {
    var cookies ={};
  if (!cookie) {
      return cookies;
   }
   var list = cookie.split(';');
   for( var i=0;i<list.length;i++){
      var pair = list[i].split('=');
      cookies[pair[0].trim()] = pair[i];
   }
   return cookies;
}

在业务逻辑代码执行前,将其挂载到req对象上

function( req,res){
 req.cookies = parseCookie(req.headers.cookie);
 handle(req,res);
}

根据前文,我们已经知道Cookie在响应报文中包含了maxAge、path等属性,我们需要将Cookie的格式序列化为符合规范的字符串,代码如下:

var serialize = function(name,val,opt){
 var pairs = [name + '=' +encode(val)];
 opt = opt || {};
 if(opt.maxAge)  pairs.push('Max-Age=' + opt.maxAge);
 if(opt.domin)  pairs.push('Domin=' + opt.domin);
 if(opt.path)  pairs.push('Path=' + opt.path);
 if(opt.expires)  pairs.push('Expires=' + opt.expires.toUTCString());
 if(opt.httpOnly)  pairs.push('HttpOnly);
 if(opt.secure)  pairs.push('Secure');
 return pairs.join(';');
}

编写访问逻辑代码

var handle = function(req,res){
 if(!req.cookies.isVisit){
 res.setHeader('Set-Cookie',serialize('isVisit','1'));
 res.writeHead(200);
 res.end('欢迎你第一次访问我们网站');
 }else{
  res.writeHead(200);
  res.end('欢迎你再次回到我们网站');
 }
};

2.Cookie的性能影响

由于Cookie的实现机制,除非Cookie过期,否则浏览器每次请求都会向服务器发送Cookie,一旦Cookie设置过多,会导致请求报头过大,造成带宽的浪费。因此,对Cookie的性能优化也是值得关注的一个问题。如何进行性能优化?

  • 减小Cookie的大小
  • 为不需要Cookie的组件换个域名,以减少无效Cookie的传输
  • 减少DNS查询

根据前文提到的document.cookie方法,前端也可以通过JavaScript修改Cookie。这就是目前大多数广告网站的常用做法:通过嵌入第三方脚本,将Cookie和当前页面绑定,这样就能获取到用户的浏览行为,广告商就能定向投放广告了。但是也不用太担心,Cookie只是标识用户,并不能获取到更多的用户信息。如果不想自己的访问被记录下来,那么直接禁用第三方脚本就好了。

关于服务器端的session,我将在下一篇文章中详细讲解。

我的个人博客:http://frankxiong.xyz

参考书籍:《深入浅出NodeJS》

日记本
Web note ad 1