web-dev-qa-db-ja.com

Express.jsでセッションを操作する

Webアプリケーションのセッションの概念を理解する助けが必要です。 Express 3.0でNode.jsサーバーを実行しています。

私の目標は:

  • ログインするユーザーごとにセッションを作成します

  • このセッションを保存し、ユーザーが既にログインしているかどうかを検証するために使用し(同じユーザーを同時に使用する2つのデバイスを防ぎます)、特定のページへのアクセスを制限します(セッションIDを他のデータに一致させることにより)

MemoryStoreを使用してセッションを保存します(最も簡単なようです)。上記の目標が理にかなっている場合、それらを達成する方法の完全な説明を提供できますか?

36
cesarcruz91

Expressには、githubリポジトリにNice examples があります。そのうちの1つは 認証 を扱い、ユーザーを_req.session_オブジェクトにアタッチする方法を示しています。これはapp.post('/login')ルート内で行われます。

特定のページへのアクセスを制限するには、これらのルートにシンプルなミドルウェアを追加します

_function restrict(req, res, next) {
  if (req.session.user) {
    next();
  } else {
    req.session.error = 'Access denied!';
    res.redirect('/login');
  }
}

app.get('/restricted', restrict, function(req, res){
  res.send('Wahoo! restricted area, click to <a href="/logout">logout</a>');
});
_

Brandon で既に述べたように、実稼働環境ではMemoryStoreを使用しないでください。 Redis が適切な代替手段です。 connect-redis を使用して、データベースにアクセスします。設定例は次のようになります

_var RedisStore = require('connect-redis')(express);

// add this to your app.configure
app.use(express.session({
  secret: "kqsdjfmlksdhfhzirzeoibrzecrbzuzefcuercazeafxzeokwdfzeijfxcerig",
  store: new RedisStore({ Host: 'localhost', port: 3000, client: redis })
}));
_
40
zemirco

複数のインスタンスを作成していない場合(クラスターモジュールなど)のみ、ExpressでMemoryStoreを使用します。マシン間で負荷分散を行う場合、ロードバランサーはスティッキー/永続セッションを使用する必要があります。

これらの要件を満たしている場合、ログイン時に必要な作業は、資格情報が検証されたら、ログインを示すセッション変数を設定することです。次に例を示します。

req.session.loggedIn = true;

ユーザーがログインしているかどうかを確認する場合は、その変数を確認するだけです。

if (req.session.loggedIn) {
    // user is logged in.
}
else {
    // user is not logged in.
}

1人のユーザーが一度に複数のセッションを持つことを防ぐことに言及しました。それを実現するには、ユーザーがログインしていることを示す何かをデータベースに保存する必要があるかもしれません。私はあなたに警告します、これは古いセッションのため危険です。たとえば、ユーザーがログインしてもログアウトしない場合はどうなりますか?ユーザーがブラウザウィンドウを閉じてセッションが永久になくなった場合はどうなりますか?

Expressには、アイドルセッションの有効期限という概念はありません。最後にアクセスしたタイムスタンプと共にすべてのセッションをデータベースに保存し、時間に基づいてセッションデータを定期的にクリーンアップすることにより、このようなことを実装しました。ただし、ログインしているユーザーのリストも更新する必要があります。

10
Brandon