为什么要cookie?

HTTP协议是无状态的，也就是说客户端和服务器端不需要建立持久的连接。由于客户端和服务器的连接是基于一种请求应答模式，及客户端和服务器建立一个连接，客户端提交一个请求，服务器端收到请求后返回一个响应，然后二者就断开连接。

既然客户端和服务器在完成一次请求以后，彼此就断开了连接，二者之间就不再有任何关系了；比如，用户在页面一进行了登录，当用户跳转到了同一个Web应用的页面二，那么如何在页面二知道用户已经进行了登录呢？It’s a question!!! 当客户端再次发起请求的时候，服务器端如何判断两次不同的请求来自同一个客户端呢？

是的，服务器无法区分每一次请求之间的联系。这就需要有一个状态来标识每一次请求，如果两次请求的状态标识是一样的，这就表明这两个请求是从同一个客户端发起的。

于是24岁的网景公司的moutulli针对这问题设计出cookie的雏形．

cookie工作原理

下面我通过浏览器向www.baidu.com发起请求，并简单的将cookie的工作原理图绘制出来。

cookie工作原理.png

1.首次向百度发起首次请求；

2.当请求到达百度的服务器以后，百度的服务器需要生成响应，并会在响应的头部写入cookie信息；
服务器通过发送一个带有Set-Cookie的HTTP消息响应头来创建一个cookie，并设置cookie的一些属性；

3.当客户端浏览器接收到响应头以后，会将cookie信息写入本地进行管理；

4.当再次向百度服务器发起请求时，客户端会将之前写入的cookie一起发送过去；
客户端通过发送一个带有Cookie: name=value; name2=value2的HTTP请求头来向服务器发送本地的cookie数据；

5.服务器接收到请求以后，从请求头中获得cookie信息，分析cookie数据，再向客户端响应。

个人建议：对cookie的操作最好放在后台．因为cookie本身是存储在浏览器中的字符串，如果在前端用document.cookie来获取cookie可能比较麻烦，需要分割字符串等；后台通过cookie-parser来解析你需要的cookie数据．

cookie可选参数

可选的 cookie 参数会影响将 cookie 发送给服务器端的过程，主要有以下几种：

• path：表示 cookie 影响到的路径，匹配该路径才发送这个 cookie。
• expires 和 maxAge：告诉浏览器这个 cookie 什么时候过期，expires 是 UTC 格式时间，maxAge 是 cookie 多久后过期的相对时间。当不设置这两个选项时，会产生 session cookie，session cookie 是 transient 的，当用户关闭浏览器时，就被清除。一般用来保存 session 的 session_id。
  secure：当 secure 值为 true 时，cookie 在 HTTP 中是无效，在 HTTPS 中才有效。
  httpOnly：浏览器不允许脚本操作 document.cookie 去更改 cookie。一般情况下都应该设置这个为 true，这样可以避免被 xss 攻击拿到 cookie。

cookie的生命周期

cookie是有生命周期的，一旦到了cookie的失效日期，客户端的cookie就会被删除。服务器在创建cookie时可以控制一个cookie可以在客户端“存活”多长时间。在以下几种情况下，cookie都会结束它自己的生命周期：

• 未指定过期时间的cookie：当服务器创建一个cookie的时候没有指定对应的过期时间时，客户端会将这类cookie写入浏览器开辟的一块内存中，当关闭浏览器以后，这块内存也就被释放了，对应的cookie也就是结束了它的生命；
• 指定过期时间的cookie：当服务器创建一个cookie的时候指定了对应的过期时间时，当到达了过期时间时，对应的cookie就会被删除；
• 当浏览器中的cookie数量达到了限制时，那么浏览器就会按照某种策略删除一些旧的cookie，腾出空间来创建新的cookie；
• 当然了，我们也可以手动的人为删除cookie。

cookie的缺点

• 安全性：由于cookie在HTTP中是明文传递的，其中包含的数据都可以被他人访问，可能会被篡改、盗用。
• 大小限制：cookie的大小限制在4KB左右，若要做大量存储显然不是理想的选择。
• 增加流量：cookie每次请求都会被自动添加到Request Header中，无形中增加了流量。cookie信息越大，对服务器请求的时间也越长。

express-cookie-demo

const express = require('express');
const cookieParser = require('cookie-parser');

const app = express();
app.use(cookieParser());

app.get('/', function (req, res) {
   res.send('Hello, world!');
});

app.get('/set-cookies', function (req, res) {
   res.cookie('token', 'mike:123456').end();
});

app.get('/cookies', function (req, res) {
   res.send(req.cookies);
});

app.listen(3000, function () {
    console.log('Server listening at http://localhost:3000');
});

参考资料：
http://www.jellythink.com/archives/1389
http://wiki.jikexueyuan.com/project/node-lessons/cookie-session.html
https://segmentfault.com/a/1190000004743454