【Node.js】Session原理详解

最新推荐文章于 2026-04-15 17:38:12 发布
原创 最新推荐文章于 2026-04-15 17:38:12 发布 · 1.6k 阅读 · 15 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#node.js #express #前端 #npm #javascript

文章目录

在现代 web 开发中,session 是一种常用的机制,用于在用户和服务器之间维护一个持久的状态。这种状态允许服务器在多次 HTTP 请求之间识别用户,从而实现诸如登录状态保持、购物车管理等功能。本文将详细介绍 session 的工作原理、存储方式及其在实际应用中的使用方法。

一、Session 机制概述

1. 什么是 Session

Session 是一种在用户与服务器之间保持交互状态的机制。HTTP 协议本质上是无状态的,即每次请求都是独立的,服务器无法记住前一次请求的状态。而 session 的引入为了解决这个问题,它为每个用户生成一个唯一的标识符(通常称为 session ID),并将这个 ID 与用户的相关数据关联起来,从而在不同请求之间维护用户状态。

2. Session 与 Cookie 的关系

Session 通常与 Cookie 配合使用。具体来说,当用户第一次访问服务器时,服务器会生成一个唯一的 session ID,并将该 ID 通过 Set-Cookie 响应头发送给浏览器。浏览器随后会将这个 cookie 保存在本地,并在后续的请求中通过 Cookie 请求头将该 session ID 发送给服务器。服务器根据 session ID 来识别用户并恢复其相关状态。

二、Session 的工作流程

1. 基本流程

session 的工作流程可以概括为以下几个步骤:

  • 用户第一次请求:当用户第一次访问服务器时,服务器创建一个新的 session,并生成一个唯一的 session ID。
  • 服务器存储 session 数据:服务器会将与用户相关的数据(如登录状态、购物车内容等)存储在内存、文件或数据库中,并与 session ID 进行关联。
  • 浏览器存储 session ID:服务器将生成的 session ID 通过响应头发送给客户端,客户端将其存储在浏览器的 cookie 中。
  • 用户后续请求:在后续的每次请求中,浏览器会自动携带 session ID,服务器根据 session ID 找到对应的用户数据,恢复用户的状态。

2. 示例代码

下面是一个简单的使用 session 的示例,基于 Express 框架:

const express = require('express');
const session = require('express-session');

const app = express();

// 配置 session 中间件
app.use(session({
  secret: 'your secret',
  resave: false,
  saveUninitialized: true,
  cookie: { secure: false }  // 在开发环境下关闭 secure
}));

// 用户请求首页
app.get('/', (req, res) => {
  if (!req.session.views) {
    req.session.views = 1;
    res.send('欢迎首次访问!');
  } else {
    req.session.views++;
    res.send(`这是你第 ${req.session.views} 次访问!`);
  }
});

app.listen(3000, () => {
  console.log('服务器已启动,端口 3000');
});

在上述代码中,express-session 中间件用于管理 session。服务器为每个用户生成一个 session,并通过 cookie 将 session ID 传递给浏览器。在后续的每次请求中,服务器根据 session ID 恢复用户的访问记录。

三、Session 的存储方式

1. 内存存储

最简单的 session 存储方式是将其保存在服务器的内存中。内存存储速度快,适合于小规模应用或开发环境。但它有两个主要的缺点:

  • 可扩展性差:当服务器规模增大时,内存存储会变得不再可行,特别是在分布式系统中,多个服务器实例之间无法共享内存中的 session 数据。
  • 数据易丢失:当服务器重启时,内存中的 session 数据会丢失,导致用户状态的丢失。

2. 文件存储

另一种常见的存储方式是将 session 数据保存在文件系统中。相比内存,文件存储更持久,但速度相对较慢,且不适合在分布式系统中使用。

3. 数据库存储

对于大多数生产环境,使用数据库存储 session 是更可靠的选择。常用的数据库包括关系型数据库(如 MySQL、PostgreSQL)和 NoSQL 数据库(如 Redis、MongoDB)。特别是 Redis,由于其支持高并发和持久化,是存储 session 的理想选择。

Redis 存储示例

下面展示了如何使用 Redis 存储 session 的示例代码:

const session = require('express-session');
const RedisStore = require('connect-redis')(session);
const redis = require('redis');

// 创建 Redis 客户端
const redisClient = redis.createClient();

app.use(session({
  store: new RedisStore({ client: redisClient }),
  secret: 'your secret',
  resave: false,
  saveUninitialized: true,
  cookie: { secure: false }
}));

在这个示例中,connect-redis 模块用于将 session 存储在 Redis 中。这样,多个服务器实例可以共享同一个 Redis 数据库,从而实现分布式 session 管理。

四、Session 的生命周期

1. Session 过期时间

session 并不会永久存在,通常会设置一个过期时间(TTL)。当 session 过期后,服务器会删除该 session 对应的数据,用户需要重新登录或重新创建状态。过期时间可以通过配置 cookie.maxAgesession 配置中的 ttl 参数来控制。

app.use(session({
  secret: 'your secret',
  cookie: { maxAge: 60000 }  // 设置 cookie 的过期时间为 1 分钟
}));

2. 手动销毁 Session

在某些情况下(例如用户登出时),需要手动销毁 session。可以通过调用 req.session.destroy() 方法来删除当前用户的 session 数据。

app.get('/logout', (req, res) => {
  req.session.destroy(err => {
    if (err) {
      return res.status(500).send('登出失败');
    }
    res.send('登出成功');
  });
});

五、Session 在分布式系统中的应用

在分布式系统中,通常会有多个服务器实例来处理用户请求。如果 session 数据存储在某个服务器的内存中,那么当用户的请求被路由到另一个服务器时,无法恢复之前的 session。这种情况下,有两种常见的解决方案:

1. Sticky Session

Sticky session(会话粘滞)是一种负载均衡策略,确保同一用户的所有请求都被路由到同一个服务器。这样,每个服务器可以将 session 数据保存在自己的内存中而无需共享。

2. Session 共享

更常见的方式是将 session 存储在一个共享的存储介质中,例如 Redis 或数据库。这样,无论用户的请求被路由到哪个服务器,服务器都可以通过 session ID 从共享存储中获取 session 数据。

六、Session 的安全性

1. 防止 Session 劫持

Session 劫持是指攻击者通过窃取用户的 session ID 来冒充用户的攻击手段。为了防止 session 劫持,可以采取以下措施:

  • 使用 HTTPS:通过 HTTPS 加密传输,防止 session ID 被窃取。
  • 设置 Secure 和 HttpOnly 标志:为 session cookie 设置 SecureHttpOnly 标志,确保 cookie 只能通过 HTTPS 传输且无法通过 JavaScript 访问。
app.use(session({
  secret: 'your secret',
  cookie: {
    secure: true,  // 仅在 HTTPS 传输时发送 cookie
    httpOnly: true // 禁止 JavaScript 访问 cookie
  }
}));

2. 防止跨站请求伪造(CSRF)

为了防止 CSRF 攻击,通常会结合 csrf token 使用。服务器在每个用户的 session 中存储一个唯一的 csrf token,并在每个表单提交时验证该 token 是否匹配。

七、总结

Session 是维护用户状态的关键技术,尽管 HTTP 本质上是无状态的,session 通过将状态与 session ID 关联,为用户提供了持久化的交互体验。在实际开发中,选择合适的 session 存储方案并确保其安全性是至关重要的。通过合理的配置和优化,可以确保用户拥有流畅、安全的体验。

推荐:

在这里插入图片描述

使用Node.js的会话(session)功能
TechGlide的博客
10-03 423
会话(session)是Web应用程序中常用的一种机制,用于在不同的请求之间保存用户的状态信息。在Node.js中,我们可以使用一些库或框架来实现会话功能,例如。是一个流行的Node.js会话管理中间件,它提供了一种简单而灵活的方式来创建和管理会话。下面我们将介绍如何在Node.js中使用来实现会话功能。
Node.js | 详解 Cookie-Session登录验证 的工作原理
前端之行,任重道远!
11-16 9188
目前绝大多数的系统都少不了登录验证的功能,这主要是为了保存用户的状态,以此来限制用户的各种行为,从而方便有效的控制用户的权限。比如一个用户登陆微博,发布、关注、评论的操作都应是在登录后的用户状态下进行的。实现登录验证的功能主要有、JWT两种方式,这一节我们将先对 Cookie&Session的工作原理做详细的介绍,在之后的文章中会陆续对JWT,以及如何使用和JWT来完善前几节我们搭建的简易用户管理系统进行讲解。关注博主,订阅专栏,学习Node不迷路!
《现代JavaScript高级教程》 详解Cookie, Session, SessionStorage, LocalStorage
linwu的博客
07-06 1296
Cookie是一种在客户端存储数据的机制,它将数据以键值对的形式存储在用户的浏览器中。名称和值:每个Cookie都有一个名称和对应的值,以键值对的形式表示。域(Domain):Cookie的域属性指定了可以访问Cookie的域名。默认情况下,Cookie的域属性设置为创建Cookie的页面的域名。路径(Path):Cookie的路径属性指定了可以访问Cookie的路径。默认情况下,Cookie的路径属性设置为创建Cookie的页面的路径。过期时间(Expires/Max-Age)
裸机开发实战:从硬件调试到软件联调的完整指南
weixin_33704234的博客
04-05 469
本文详细介绍了裸机开发的完整流程,从硬件调试到软件联调,涵盖了最小系统搭建、硬件调试技巧和软件模块化开发等关键环节。通过实战案例和代码示例,帮助开发者掌握裸机开发的核心技术,特别适合物联网设备和工控系统开发人员参考。
node会话管理详解(cookie、session、token)
2301_76669854的博客
06-02 1164
Node.js中,cookie、session和token都是用于会话管理的机制,但它们各自有不同的使用场景和特性。
jssession的使用
奔跑的小猪仔
08-06 9220
// 保存数据到sessionStorage sessionStorage.setItem(‘key’,‘value’); // 从sessionStorage获取数据 var data =sessionStorage.getItem(‘key’); // 从sessionStorage删除保存的数据 sessionStorage.removeItem(‘key’); // 从sessionSto...
NodeJs(四)-----node中的session
Missbelover的博客
06-25 2275
什么是session session是另一种记录客户状态的机制,与cookie保存在客户端浏览器不同,session保存在服务器当中; 当客户端访问服务器时,服务器会生成一个session对象,对象中保存的是key:value值,同时服务器会将key传回给客户端的cookie当中;当用户第二次访问服务器时,就会把cookie当中的key传回到服务器中,最后服务器会把value值返回给客户端。 ...
Node.js - 04:MongoDB、会话控制
2303_80098652的博客
03-18 528
MongoDB 是一个基于分布式文件存储的数据库,官方地址数据库(DataBase)是按照数据结构来组织、存储和管理数据的 应用程序数据库的主要作用就是 管理数据 ,对数据进行 增(c)、删(d)、改(u)、查(r)相比于纯文件管理数据,数据库管理数据有如下特点:1. 速度更快2. 扩展性更强3. 安全性更强使用Mongodb原因:操作语法与 JavaScript 类似,容易上手,学习成本低2、核心概念Mongodb 中有三个重要概念需要掌握。
终极指南:Express-Session与Passport等认证库的无缝整合方案
gitblog_00393的博客
02-19 692
Express-Session是一款轻量级的Express会话中间件,它能够帮助开发者轻松实现用户会话管理功能。本文将详细介绍如何将Express-Session与Passport等认证库协同工作,打造安全可靠的用户认证系统。 ## 快速入门:Express-Session基础配置 要开始使用Express-Session,首先需要通过npm安装: ```bash npm install e
Node.js 后端 + 简易运维岗---面试全套指南(1)
最新发布
myy2012的专栏
04-15 494
协议、域名、端口任意一个不同,浏览器就拦截。
前端面试点收集
还不是【web】的博客
08-16 299
bind call apply 三个函数的认识 是否能自己实现 web前端的requestAnimationFrame了解么 有使用过么 说一下使用场景 web前端优化 前后端跨域可以说一下么 有碰到过跨域问题么,怎么去解决跨域 nodeJs的异步IO原理 react的Dom的diff算法描述 浏览器cookie和session的认识 跨域分为哪几种类型 如何解决...
Node.js简单使用session,帮助理解实现原理
Dreamy_LIN的博客
06-01 2687
Cookie可以实现浏览器和服务器状态的记录,但Cookie会出现存储提及过大和可以在前后端修改的问题。 为了解决Cookie的数据敏感问题,Session应运而生。常见的实现方式是基于Cookie。只将口令放置Cookie,通过口令实现前后端数据的映射,大部分数据存储于服务器的session中。并设置有效期,一般20分钟。超时则重新生成。 var http = require('http'); //全局sessions存放所有的session var sessions = {}; var key = '
JSSession操作(八)
热门推荐
两个蝴蝶飞
01-28 3万+
在Java服务器端,有Session和Cookie的概念,在JS端,也有相对应的Session和Cookie的概念。 JS的Cookie,可以利用cookie.js来完成相应的操作。 具体可以看 Cookie.js实现保存用户名和密码操作(一) 一章。 session时使用sessionStorage . Storage表示存储的意思。 一. 设置值 sessionStorage.setItem...
十四、Node.jssession验证登录
灵魂学者的博客
01-05 2402
cookie是存储在客户端的,而session是存储在服务器的,相比较session的安全性会更高,session对象存储特定用户会话所需要的属性以及配置信息,服务通过session对象将用户的信息临时保存在服务器中,客户无法进行修改,反观cookie是存储在客户端,用户可以进行伪造修改,所以使用session是比cookie更安全!
nodejs如何操作session教程详解
CRMEB小程序商城的博客
07-11 971
原理大概是:http 带来服务端提前设置 cookie,服务端拿到标示用户身份的cookie, 再去固定地点(数据库,文件)检索出对应的用户身份。把身份赋值给本次请求的request,在程序处理中就知晓了用户的身份了。nodejs如何操作session教程详解 session 不用多介绍,使一个http可以对应一个终端用户。session的本质使用cookie来实现。需要为每一个用户设置一个可以标示用户身份的cookie。session 不用多介绍,使一个http可以对应一个终端用户。
jssession、cookie、 localStorage和SessionStorage的区别和特点
子玉的博客
11-01 979
localStorage 和 sessionStorage 则适用于需要在客户端持久化存储大量数据的情况,但它们仅在客户端存储,不涉及与服务器的数据交互。- Session、cookie、localStorage 和 sessionStorage 都是在浏览器中存储的,因此可以通过 JavaScript 在客户端访问和操作这些存储机制。在 JavaScript 中,session、cookie、localStorage 和 sessionStorage 是用于在客户端存储数据的不同机制。
Node.js 中的 Session 原理Session 中间件的使用
m0_62599305的博客
02-24 1251
Session是一种用于保存用户状态信息的机制。由于 HTTP 协议本身是无状态的(即每次请求都是独立的),Session 使得我们能够跨多个请求保存用户信息,比如用户的登录状态、购物车内容等。Session是一种在服务器端存储用户状态的机制,用于跨多个请求保持会话数据。它比Cookie更安全,因为它将敏感数据存储在服务器上,而不是客户端。在 Node.js 中,我们可以使用中间件来管理 Session,存储用户信息、处理登录状态等。
node.js中的cookie和session
flying meng的菜鸟居
07-02 2579
用惯了框架中的插件,最近在重温node基础模块时也不禁在想:什么是Cookie?什么是Session?两者的区别和联系有哪些?Node.js是否提供了相应的模块来管理存储Session?如果没有提供相应模块,我们应该如何实现一个类似Session管理的模块呢? Cookie和Session Session和Cookie都是基于Web服务器的,不同的是Cookie存储在客户端,而Session存储在服务器端。 当用户在浏览网站的时候,Web服务器会在浏览器上存储一些当前用户的相关信息,而在本地Web客户端存
Node.js - Cookie与Session详解
qq_51222843的博客
01-17 1937
Cookie 和 Session 是 Web 开发中常用的两种机制,用于在客户端和服务器之间存储和共享用户状态信息。本文详细介绍在基于Node.js后端开发中cookies与session的配置与使用。
利用Node.js中的Session做简单的登录
少吃点肉的博客
10-27 3万+
Session是什么 Session一般译作会话,牛津词典对其的解释是进行某活动连续的一段时间。从不同的层面看待session,它有着类似但不全然相同的含义。比如,在web应用的用户看来,他打开浏览器访问一个电子商务网站,登录、并完成购物直到关闭浏览器,这是一个会话。而在web应用的开发者开来,用户登录时我需要创建一个数据结构以存储用户的登录信息,这个结构也叫做session。因此在谈论sess
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Peter-Lu

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值