session中間件里的sessionID(以下簡稱sid)的算法為24byte的全隨機����。sid重復的可能性比較小�,但理論上還是有重復的可能����。 session中間件的session維護流程為:
(一)新session的創建
(1)將option里配的sessionStore掛到req上;
(2)修改res.end函數,在原函數基礎上加入req.session.save操作(就是往sessionStore里存session)����;
(3)新session的接入����,因為是新session����,所以cookie里沒有sid信息。隨機一個sid,以此sid來創建session,然后將session綁到req上;然后將req和res交給下個中間件或流程處理。
(二)舊session接入
(1)同上邊的第(1)步����;
(2)同上邊的第(2)步���;
(3)cookie里有sid�,根據這個sid去sessionStore里取回session信息����;如果session過期就取不到session了,就像上邊的(3)里那樣重新創建一個session。
為了完全消除sid的重復性帶來的影響����,就要檢查新創建的sid是否已經存在與sessionStore里了���。
session中間件的結構在express的以后版本中還會修改����,所以我不想動session中間件的源碼����。于是只能在新session創建后的我自己的邏輯流程中來處理。邏輯流程中�,當http包為登陸驗證包時�,將session中間件給創建的session的sid拿到sessionStore里去查下是否已被使用�,如果使用就干掉當前session,并通知當前客戶端重試。
干掉當前session有個技巧���,就是直接(req.session=null;)這樣即可,因為修改后的res.end里,判斷如果req.session未定義,就不會再去調用req.session.save了����。當前session是一定不能讓他save的���,否則就拿當前用戶的信息覆蓋了之前用此sid的用戶���,造成那個用戶后續邏輯混亂。