不使用cookie记录用户信息
cookie是什么:
cookie是由web服务器保存在用户浏览器(客户端)上的小文件,它可以包含用户信息,用户操作信息等等,无论何时访问服务器,只要同源,就能携带到服务端
常见方式
- 一般:请求一个接口,返回是否登录,如果登录成功,服务器(set-cookie)设置cookie到浏览器,以后请求api会继续请求
- jwt:将用户id.payload.签证进行加密,并且注入到客户端cookie,之后每次请求会在服务端解析该cookie,并获取对应的用户数据,由于存在客户端,所以解放了服务端,减少服务端压力。也可以将该cookie放到根域名下,这样就可以登录一次,遍地开花。
可以看到,常见的方式都是利用cookie(或者浏览器storage),这样你的信息还是会被看到,如果别人获取到你的cookie也有办法进行破解甚至直接复制登录。那么有没有办法不借用cookie来记录用户信息的?
利用缓存存储用户信息
- 优点:安全可靠
- 缺点:依赖服务端
原理概述:
请求一个资源,如果设置cache-control、lastmodify、etag等,会进行缓存相关的判定:
- cache-control:是否强缓存,如果命中直接读取浏览器缓存的上次返回内容
- last-modify:如果未命中强缓存,进行时间的判断,如果有if-modified-since并且和last-modify那么读取缓存,否则重新拉取资源
- etag:如果未命中强缓存,通过etag唯一标志福来判断是否需要拉取最新资源,etag一般用文件内容的hash加密后内容,如果是大文件,个人建议使用文件大小+最后修改时间作为唯一标志
综上所述,如果我们请求一个很小的资源文件,例如1字节的图片,服务端设置cache-control: max-age=0,跳过强缓存,服务端设置etag,保证每次都做协商缓存,然后根据etag的变化来决定是否需要拉新(记录用户信息),如果etag没有变化,那么就读取缓存(缓存记录用户信息)
代码示例
const Koa = require('koa');
const KoaBody = require('koa-body');
const fs = require('fs');
const path = require('path');
const glob = require('glob');
const baseDate = {
visitCount: 1,
date: undefined,
info: ''
};
const app = new Koa();
app.use(KoaBody());
app.use(async ctx => {
// 更新资源
if (ctx.req.url === '/updateInfo' && ctx.req.method === 'POST') {
const session = require('./session.json');
session.info = ctx.request.body.info;
await writeFile('session.json', JSON.stringify(session));
ctx.body = {
code: 1
};
}
const imgType = glob
.sync('*.+(jpg|png)')
.map(file => path.resolve('/', file));
if ((fileIndex = imgType.indexOf(ctx.req.url)) !== -1) {
const res = ctx.response;
const req = ctx.req;
res.type = path.extname(imgType[fileIndex]).slice(1);
const filePath = path.join('./', imgType[fileIndex]);
res.set('cache-control', 'public, max-age=0');
let session;
try {
session = require('./session.json');
} catch (e) {
session = {...baseDate};
session.date = new Date().toLocaleString();
await writeFile('session.json', JSON.stringify(session));
} finally {
// use force refresh to clear etag, because if serve set etag,
// browser will carry if-none-match field in request header. and we can use if-none-match to judge somethine
// etag 大文件一般用文件大小 + 修改时间 来生成,而不是读取文件内容
md5 = convertMd5(JSON.stringify(session));
res.etag = md5;
if (req.headers['if-none-match']) {
// console.log('缓存');
session.visitCount = +session.visitCount + 1;
session.date = new Date().toLocaleString();
await writeFile('./session.json', JSON.stringify(session));
res.status = 304;
} else {
// console.log('清除缓存');
session.visitCount = 1;
session.date = new Date().toLocaleString();
session.info = '';
await writeFile('./session.json', JSON.stringify(session));
ctx.body = fs.createReadStream(filePath);
}
}
}
});
app.listen(3000);
运行demo
有问题欢迎交流
