静态网站很容易扩展。你只需要全部缓存,不需要考虑从不同服务器组合有状态的内容给用户。
可惜,大多数Web应用使用有状态的内容提供个性化体验。如果你的应用可以登录,就需要记住用户的Session。经典的处理方法是客户端设置包含随机唯一Session标识的Cookie,被标识的Session数据保存到服务端。
扩展有状态服务
当扩展服务的时候,你肯定有三种选择:
不同服务端同步Session数据
不同服务端连接单点中心(获取Session)
保证用户访问同一个服务端
但都有缺陷:
同步数据增加性能开销
单点中心降低系统扩展性
如果用户上次访问的服务端需要维护怎么办
然而,如果你换个角度思考,会发现第四种选择:将Session数据保存在客户端
客户端Session
在客户端保存Session有一些优势:
无所谓哪个服务端,Session数据都有效
不需要维护服务端状态
不需要服务端同步
任意添加新的服务端
但是客户端Session存在一个严重问题:你不能保证用户不篡改Session数据。
比如你在Cookie中保存用户的ID。用户很容易修改它,从而访问别人的账户。
这似乎否定了客户端Session的可能,但有一种方法可以巧妙解决这问题:加密打包Session数据(还是存在Cookie中)。这样就不需要担心用户修改Session数据,服务端会验证数据的。
实际应用上,就是Cookie中保存一个加密的Server Key。Server Key验证后才有权利读取和修改Session数据。这就是客户端Session。
Node客户端Session
Node.JS有一个库可以实现客户端Session:node-client-session.它可以代替Connect(一个Node中间件框架)内置的session和cookieParser中间件。
在Express框架应用中的使用:
const clientSessions = require("client-sessions");
app.use(clientSessions({ secret: '0GBlJZ9EKBt2Zbi2flRPvztczCewBxXK' // 设置一个随机长字符串! })
然后,向req.session对象添加属性:
app.get('/login', function (req, res){ req.session.username = 'JohnDoe'; });
读取属性:
app.get('/', function (req, res){ res.send('Welcome ' + req.session.username); });
使用reset方法终止Session:
app.get('/logout', function (req, res) { req.session.reset(); });
