基础功能
对于一个web应用而言,我们在具体业务中可能有如下需求:
- 请求方法判断
- url的路径解析
- url中查询字符传解析
- cookie的解析
- basic认证
- 表单数据的解析
- 任意格式文件的上传处理
- session会话需求
请求方法
常见的请求方法:GET、POST、DELETE、PUT、HEAD、CONNECT等。请求方法存在与报文的第一行的第一个单词:
> GET /path?foo=baz HTTP/1.1
> User-Agent: curl/7.24.0 (x86_64-apple-darwin12.0) libcurl/7.24.0 OpenSSL/0.9.8r zlib/1.2.5
> Host 127.0.0.1:1337
> Accept: */*
>
http_parser在解析请求报文的时候,将报文头抽取出来,设置味req.method。
路径解析
路径部分存在于报文的第二部分,紧接着请求方法的后面。客户端代理沪江这个地址解析成报文,将路径和查询部分放在报文的第一行
常见的应用场景
- 静态文件服务器,根据路径去查找磁盘中的文件,然后将其响应给客户端:
function (req, res) {
var pathname = url.parse(req.url).pathname;
fs.readFile(path.join(ROOT, pathname), function(err, file){
if(err) {
res.writeHeader(404);
return;
}
res.writeHead(200);
res.end(file);
});
}
- 根据路径来选择控制器,它预设路径味控制器和行为的组合
/controller/action/a/b/c
function (req, res) {
var pathname = url.parse(req.url).pathname;
var paths = pathname.split('/');
var controller = paths[1] || 'index';
var action = path[2] || 'index';
var arg = paths.slice(3);
if (hanldes[controller] && handles[controller][action]) {
handles[controller][action].apply(null, [req, res].concat(args));
} else {
res.writeHead(500);
res.end('找不到相应的控制器')
}
}
查询字符串
查询字段位于路径之后,如 127.0.0.1/path?name=hahaha&phone=110,name和phone两个字段就是查询字符串。node提供了querystring模块用于处理这部分数据
var url = require('url');
var querystring = require('querystring');
var query = querystring.parse(url.parse(req.url).query);
或
var query = url.parse(req.url, true).query;
以上两个方法会将上面的路径解析成一个Json对象:
{
name: 'hahaha',
phone: '110',
}
Cookie
标识和认证一个用户,Cookie处理分为以下几步:
- 服务器项客户端发送cookie
- 浏览器将cookie保存
- 之后每次浏览器都会将cookie法向服务器端
客户端发送的cookie在请求保稳定饿cookie字段中,可以通过curl工具构造这个字段
curl -v -H "Cookie: foo=bar; baz=val" "http://127.0.0.1:1337/path/name=hahaha&phone=110"
http_parser会将所有的报文字段解析到req.headers上,那么cookie就是req.headers.cookie。
当用户第一次访问站点的时候,服务端需要给客户端一个访问过的标识。告知客户端的方式事通过响应报文实现的,响应的cookie值在Set-Cookie字段中。贵方中的定义如下所示:
Set-Cookie: name=value; Path=/; Expires=Sun, 23-Apr-23 09:01:35 GMT; Domain=.domain.com;
其中name=value事必须包含的部分其它的参数可选。
- path表示cookie影响的路径,当前访问的路径不满足匹配的时候,浏览器则不发送这个cookie
- Expires和Max-Age事用来告诉浏览器这个cookie什么时候过期,如果不设置改选项,在关闭浏览器时会丢失掉这个Cookie。如果设置了过期时间,浏览器将会把cookie内容写入到磁盘中并保存
- HttpOnly告知浏览器不允许通过document.cookie去更改这个cookie值
- Secure为true时,在http中是无效的,在https中才有效,表示创建的cookie只能在https链接中被浏览器床底到服务器端进行会话验证,如果是http连接则不会传递该信息。
Session
由于cookie提及过大,而且前后端都能进行修改,因此数据容易被篡改,所以cookie对于敏感数据的保护是无效的。而session数据只保留在服务器端,客户端无法修改,这样数据的安全性得到了一定的保障。
如何将每一个用户和服务器中的数据一一对应起来常见的两种方式:
- 基于cookie来实现用户和数据的映射
一段服务端启用了session,它将约定一个键值来作为session的口令。一旦服务器检查到用户请求cookie中没有携带该值,它救护为之生成一个值,这个值是唯一切不重复的值,并设定超时时间。
每个请求到来时,检查cookie中的口令与服务器端的数据,如果过期,就重新生成,如下所示var session = {}; var key = 'session_id'; var EXPIRES = 20*60*1000; // 设置超时时间为20分钟 var generate = function() { var session = {}; session.id = (new Date()).getTime() + Math.random(); session.cookie = { expire: (new Date()).getTime + EXPIRES }; session[session.id] = session; return session; }
重新生成session以后,还需要再响应给客户端时设置新的值,以便下次请求时能够对应服务器端的数据。function (req, res) { var id = req.cookies[key]; if(!id) { req.session = generate(); } else { var session = sessions[id]; if(session) { if(session.cookie.expire > (new Date()).getTime()) { // 更新超时时间 session.cookie.expire = (new Date()).getTime() + EXPIRES } else { // 超时了,删除旧的数据,并冲i性能生成 delete sessions[id]; req.session = generate(); } } else { // 如果session过期或口令不对,重新生成session req.session = generate(); } } handle(req, res); }var writeHead = res.writeHead; res.writeHead = function() { var cookie = res.getHeader('Set-Cookie'); var session = serialize('Set-Cookie', req.session.id); cookie = Array.isArray(cookies) ? cookies.conact(session) : [cookies, session]; res.setHead('Set-Cookie', cookies); return writeHead.apply(this, argumnets); }; - 通过查询字符串来实现浏览器端和服务器端数据的对应
用户访问http://127.0.0.1/pathname时,服务器端发现查询字符串中不带session_id参数,就会将用户跳转到http://localhost/pathname?session_id=123456这样一个类似地址。但是这种方案带来的风险远大于基于cookie是按的风险,因为只要将地址栏中的地址发给另一个人,那么他就拥有跟你相同的身份。原理时查询请求的查询字符串,如果没有值,会先生成新的带值的url
形成跳转后,让客户端重新发起请求var getUrl = function(_url, key, value) { var obj = url.parse(_url, true); obj.query[key] = value; return url.format(obj); }funtion(req, res) { var redirect = function (url) { res.setHeader('Location', url); res.writeHead(302); res.end(); } var id = req.query[key]; if(!id) { var session = generate(); redirect(getURL(req.url), key, session.id); } else { var session = sessions[id]; if (session) { if(session.cookie.expire > (new Date()).getTime()) { // 更新超时时间 session.cookie.expire = (new Date()).getTime() + EXPIRES; req.session = session; handle(req, res); } else { // 超时了,删除旧的数据,并重新生成 delete sessions[id]; var session = generate(); redirect(getURL(req.url, key, session.id)); } } else { // 如果session过期或口令不对,重新生成session var session = generate(); redirect(getURL(req.url, key, session.id)); } } }
