cookie&session

关于cookie（保存到客户端/浏览器）

1.是什么？

•     本质就是一个字符串，里面包含着浏览器和服务器沟通的信息（交互时产生的信息）。
  

•     存储的形式以：key-value的形式存储。
  

•     浏览器会自动携带该网站的cookie，只要是该网站下cookie，全部携带。
  

2.分类：

•       --会话cookie（关闭浏览器后，会话cookie自动消失，会话cookie存储在浏览器运行的那块内存上）。
  

•       --持久化cookie：（看过期时间，一旦到了过期时间，自动销毁，存储在用户的硬盘上）。
  

3.工作原理：（例子中的小纸条）

•       --当浏览器第一次请求服务器的时候，服务器可能返回一个或多个cookie给浏览器
  

•       --浏览器判断以下cookie种类
  

•           --会话cookie：存储在浏览器运行的那块内存上
  

•           --持久化cookie：存储在用户的硬盘上
  

•       --第二次请求该网站的时候，自动携带上该网站的所有cookie（无法进行干预）
  

•       --服务器拿到之前自己“种”下cookie，分析里面的内容，校验cookie的合法性，根据cookie里保存的内容，进行具体的业务逻辑。
  

4.应用：

•       解决http无状态的问题（例子：7天免登录，一般来说不会单独使用cookie，一般配合session使用）
  

5.不同的语言、不同的后端架构cookie的具体语法是不一样的，但是cookie原理和工作过程是不变的。

•     备注：cookie不一定只由服务器生成，前端同样可以生成cookie，但是前端生成的cookie几乎没有意义。
  

一、操作cookie：

1. 设置cookie(给客户端“种”cookie)：
    直接使用res.cookie('','',{})即可。
    
2. 获取cookie(要第三方中间件):
       * 安装：npm i cookie-parser
       * 引入：const cookieParser = require('cookie-parser')
       * 使用：app.use(cookieParser())

3. 返回给客户端一个cookie：
       * res.cookie('username','peiqi',{maxAge:1000*60*60})
       
       备注：1.cookie是以：key-value的形式存在的，前两个参数分别为：key、value。
            2.maxAge用于配置cookie有效期(单位毫秒)。
            3.如果不传入maxAge配置对象，则为会话cookie，随着浏览器的关闭cookie自动会消失。
            4.如果传入maxAge，且maxAge不为0，则cookie为持久化cookie，即使用户关闭浏览器，
              cookie也不会消失，直到过了它的有效期。

4. 接收客户端传递过来的cookie：
        * req.cookies.xxx ：获取cookie上xxx属性对应的值。
        备注：cookie-parser中间件会自动把客户端发送过来的cookie解析到request对象上。     

cookie的设置、读取、删除

1.设置cookie (在express中设置cookie无需任何中间件和库)
    
    方式1：给客户端“种”一个会话cookie
        res.cookie('demo',123)
    
    方式2：给客户端“种”一个持久化cookie
        res.cookie('demo',123,{maxAge:1000*30})
        
2.读取cookie (在express中想获取客户端带过来的cookie，需要安装一个中间件，名为：cookie-parser)

    第一：安装cookie-parser
    第二：引入—— const cookieParser = require('cookie-parser')
                  app.use(cookieParser())
    
      const {demo} = req.cookies
      
3.删除cookie

    方式1.删除客户端的一个cookie，.clearCookie
          res.clearCookie('demo')
    
    方式2.让客户端的执行cookie立即过期
          res.cookie('demo','',{maxAge:0})
                    【第二个参数可以不写】

例子：

    const express = require('express');
    const cookieParser = require('cookie-parser')
    
    const app = express()
    app.use(cookieParser())
    
    //1.设置cookie
    app.get('/test1',(req,res)=>{
      //在express中设置cookie无需任何中间件和库
    
      //1.给客户端“种”一个会话cookie
      // res.cookie('demo',123)
    
      //2.给客户端“种”一个持久化cookie
      res.cookie('demo',123,{maxAge:1000*30})
    
      res.send('ok')
    })
    
    //2.读取cookie
    app.get('/test2',(req,res)=>{
    
      //在express中想获取客户端带过来的cookie，需要一个中间件，名为：cookie-parser
      const {demo} = req.cookies
      console.log(demo)
    
    
      res.send('ok')
    })
    
    //3.删除cookie
    app.get('/test3',(req,res)=>{
    
      //1.删除客户端的一个cookie
      // res.clearCookie('demo')
    
      //2.让客户端的执行cookie立即过期
      res.cookie('demo','',{maxAge:0})
    
      res.send('ok')
    })
    
    
    //绑定端口监听
    app.listen(3000,(err)=>{
      if(!err) console.log('ok')
      else console.log(err)
    })

关于session：

1.是什么？

•     标准来说，session指的是会话，但是我们常说的session，全称叫：session会话存储。
  

2.特点：

•     1.存在于服务端
  

•     2.存储的是浏览器和服务器之间沟通产生的一些信息
  

3.默认session的存储在服务器的内存中，每来一次新请求，服务器都会新开辟出一块空间，供session会话存储使用。

4.工作流程：

•     --第一浏览器请求服务器的时候，服务器会开辟出一块内存空间，供session会话存储使用。
  

•     --返回响应的时候，会自动返回一个cookie（有时候会返回多个，为了安全），cookie里包含着，上一步产生会话存储“容器”的编号（id）
  

•     --以后请求的时候，会自动携带这个cookie，给服务器。
  

•     --服务器从该cookie中拿到对应的session的id，去服务器中匹配。
  

•     --服务器会根据匹配信息，决定下一步具体的业务逻辑。
  

5.备注：一般来说cookie一定会配合session使用。

二、操作session（cookie配合session）：

1.下载安装：npm i express-session --save  用于在express中操作session
2.下载安装：npm i connect-mongo --save 用于将session写入数据库（session持久化）
3.引入express-session模块：
    const session = require('express-session');
4.引入connect-mongo模块：
    const MongoStore = require('connect-mongo')(session);
5.编写全局配置对象：
    app.use(session({
      name: 'userid',   //设置cookie的name，默认值是：connect.sid
      secret: 'atguigu', //参与加密的字符串（又称签名）
      saveUninitialized: false, //是否在存储内容之前创建会话
      resave: true ,//是否在每次请求时，强制重新保存session，即使他们没有变化
      store: new MongoStore({
        url: 'mongodb://localhost:27017/cookies_container',
        touchAfter: 24 * 3600 //修改频率（例：//在24小时之内只更新一次）
      }),
      cookie: {
        httpOnly: true, // 开启后前端无法通过 JS 操作cookie
        maxAge: 1000*30 // 设置cookie的过期时间
      },
    }));
6.向session中添加一个xxxx，值为yyy：req.session.xxxx = yyy
7.获取session上的xxx属性：const {xxx} = req.session

整个过程是：
    1.客户端第一次发起请求，服务器开启一个session专门用于存储这次请求的一些信息。
    2.根据配置对象的信息，服务器决定是否进行：session持久化等其他操作。
    2.与此同时服务器创建了一个cookie，它的key我们可以自己指定，但是它的value一定是上一步session的唯一标识。
    3.服务器将我们指定好的内容添加进session对象，例如：req.session.xxxx = yyy。
    4.等请求再次过来时，客户端的请求中包含着之前“种”的cookie。
    5.服务器检查携带过来的cookie是否有效，决定是否去读取对应session中的信息。

区别

  
cookie与session的区别有：cookie以文本格式存储在浏览器上，存储量有限，大约在4k左右；而会话存储在服务端，理论上可以无限量存储多个变量并且比cookie更安全



浏览器存储cookie、localStorage、sessionStorage之间的区别：

【他们都是保存在浏览器端的存储方式，他们之间的区别：】

1. cookie数据始终在同源的http请求中携带（即使不需要），即cookie在浏览器和服务器间来回传递。而sessionStorage和localStorage不会自动把数据发给服务器，仅在本地保存。cookie数据还有路径（path）的概念，可以限制cookie只属于某个路径下。

2. 存储大小限制不同，cookie数据不能超过4k，同时因为每次http请求都会携带cookie，所以cookie只适合保存很小的数据，如会话标识。sessionStorage和localStorage 虽然也有存储大小的限制，但比cookie大得多，可以达到5M或更大。
 
3. 数据有效期不同，sessionStorage：仅在当前浏览器窗口关闭前有效，自然也就不可能持久保持；localStorage：始终有效，窗口或浏览器关闭也一直保存，因此用作持久数据；cookie只在设置的cookie过期时间之前一直有效，即使窗口或浏览器关闭。
 
4. 作用域不同，sessionStorage不在不同的浏览器页面中共享，即使是同一个页面；localStorage 在所有同源窗口中都是共享的；cookie也是在所有同源窗口中都是共享的。