说明

源代码记忆、遗忘回顾使用 cookie/session 机制,让 客户端/服务器 的访问变得有状态

cookie 与 session

由于 HTTP 协议的无状态性,当一次连接断开后. 服务器并不会记录用户是否登录. 因此需要引入 cookie/session 机制

cookie

cookie: 浏览器在电脑硬盘中开辟的一块空间,主要供服务器端存储数据

cookie 中的数据是以域名的形式进行区分的.

cookie 中的数据是有过期时间的,超过时间数据会被浏览器自动删除.

cookie 中的数据会随着请求被自动发送到服务器

1.客户端第一次向服务器端发送请求的时候,是不存在 cookie 的.

2.服务端验证客户端,会响应一个 cookie 给客户端.

3.客户端验证通过后,在发送请求会自动带上 cookie

session

session:实际上就是一个对象,存储在服务器端的内存中,在 session 对象中也可以存储多条数据,每一条数据都有一个 sessionid 做为唯一标识.

注意:cookie 在客户端的磁盘中,session 在服务端的内存中

cookie 和 session 的使用(理论)

[client] --> 邮件地址、密码 --> [server]server 端,对邮箱地址、密码进行验证,若通过则生成 sessionid[client] <-- sessionid(存储在客户端的 cookie 中) <-- [server]客户端再次登录[client] --> cookie [server]服务端,获取 cookie 中的 sessionid,验明身份后,响应数据

实战: cookie 与 session

配置获取POST请求参数

// 配置获取post参数const bodyParser = require('body-parser')// extended: false 方法内部使用querystring模块处理请求参数的格式// extended: true 方法内部使用第三方模块qs处理请求参数的格式// 拦截所有请求app.use(bodyParser.urlencoded({extended: false }))

验证成功后,生产session信息

const User = require('../../model/user')const session = requier('express-session')app.use(session({secret: 'secret key' }))admin.post('/login', async (req, res) => {const {email, password } = req.bodyconst user = await User.findOne({email })// 假设登录成功req.session.username = user.username // 此处能用req.session是在app.js中使用app.use方法进行了拦截})

User是使用mongoose的接口创建的集合规则User.findOne(): 通过邮箱再数据库中查找数据req.session.username: 执行后,会在内存中创建

中间件的使用

什么是中间件

中间件就是一堆方法可以接收客户端发来的请求、可以对请求做出响应,也可以将请求继续交给下一个中间件继续处理.将一个复杂的请求处理逻辑分开处理也可以将请求到达指定路由前,先进行验证处理: 如用户是否登录

中间件的构成

中间件方法以及请求处理函数中间件方法: 由Express提供,负责拦截请求,请求处理函数由开发人员提供,负责处理请求.

app.get('请求路径', '处理函数'); // 接收并处理get请求app.post('请求路径', '处理函数'); // 接收并处理post请求

可以对同一请求设置多个中间件,对同一请求进行多次处理默认情况下,请求从上到下依次匹配中间件,一旦匹配成功,终止匹配可以调用next方法将请求的控制权交给下一个中间件,直到遇到结束请求的中间件.

app.get('/request', (req, res, next) =>{req.name = "张三";next();})app.get('/request', (req,res) =>{res.send(req.name);});

app.use的使用

它有2个参数, 第一个参数不写对所有路径的请求进行拦截若填写了第一个参数,则对该路径下的路由进行拦截第二个参数是路由处理函数

// 拦截所有路由app.use((req,res,next)=>{console.log(req.url);next();})// 拦截 /admin 下的所有路由app.use('/admin', (req, res, next)=>{console.log(req.url);next()})

路由守卫

简单的说就是在所有路由前面或者后面,针对特定路径或所有路径的一个特殊的app.use方法.

登录守卫

放在所有的路由前面,即客户端访问第一个经过的函数

// 拦截 -> 路由守卫app.use('/admin', require('./middleware/loginGuard'))// 其他路由中间件app.get(...);app.post(...);

loginGuard

module.exports = (req, res, next) => {if (req.url !== '/login') {// 访问的不是登录页面// 判断用户是否登录if (req.session.username) {next()} else {res.redirect('/admin/login')}} else {// 访问的是登录页面next()}}

next: 将执行权,传递给下一个中间件res.redirect: 重定向到路由/admin/login

错误守卫

放在比较靠后的中间件. 用来收集错误信息

// 其他路由中间件app.get(...);app.post(...);// 错误 -> 路由守卫app.use(require('./middleware/errorGuard.js'))

当其他路由发现错误时(如验证不通过),使用next将执行权往后传递.传递到最后,有错误守卫对错误信息进行收集.发现错误并传递错误的代码(部分)如下:

// 比如在更新用户信息的时候,新传递的数据和数据库里面的格式不符合try {await validateUser(req.body)} catch (ex) {return next(JSON.stringify({path: '/admin/user-edit', msg: ex.message }))}

validateUser: 是验证用户信息的一个函数,验证通过返回true,否则会抛出异常.

catch: 用于捕获异常.

return: 是阻止程序向下执行.

JSON.stringfify: 是因为app.use(param1,param2)中的param2的第一个参数err只接收一个字符串类型.因此需要使用该方法将对象转换成字符串

此时函数的执行权,交给了下一个中间件errorGuard.js

module.exports = (err, req, res, next) => {const result = JSON.parse(err)let params = []for (let attr in result) {if (attr != 'path') {params.push(attr + '=' + result[attr])}}res.redirect(`${result.path}?${params.join('&')}`)}

它将收集到的参数拼接成get请求的参数部分. 然后重定向