详解Node.js开发中的express-session

此时有状态是必然趋势而协议的无状态性也是木已成舟，因此我们需要一些方案来解决这个矛盾，来保持HTTP连接状态，于是出现了cookie和session。上面提到解决HTTP协议自身无状态的方式有cookie和session。安全性cookie将信息保存在客户端，如果不进行加密的话，无疑会暴露一些隐私信息，安全性很差，一般情况下敏感信息是经过加密后存储在cookie中，但很容易就会被窃取。而session只会将信息存储在服务端，如果存储在文件或数据库中，也有被窃取的可能，只是可能性比cookie小了太多。Session安全性方面比较突出的是存在会话劫持的问题，这是一种安全威胁，总体来讲，session的安全性要高于cookie。express-session 是基于express框专门用于处理session的中间件。session的认证机制离不开cookie，需要同时使用cookieParser 中间件。