欧美bbbwbbbw肥妇,免费乱码人妻系列日韩,一级黄片

深入剖析Express cookie-parser中間件實(shí)現(xiàn)示例

 更新時(shí)間:2018年02月01日 11:52:56   作者:程序猿小卡  
本篇文章主要介紹了深入剖析Express cookie-parser中間件實(shí)現(xiàn)示例,小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧

文章導(dǎo)讀

cookie-parser 是Express的中間件,用來實(shí)現(xiàn)cookie的解析,是官方腳手架內(nèi)置的中間件之一。

它的使用非常簡(jiǎn)單,但在使用過程中偶爾也會(huì)遇到問題。一般都是因?yàn)閷?duì) Express + cookie-parser 的簽名、驗(yàn)證機(jī)制不了解導(dǎo)致的。

本文深入講解 Express + cookie-parser 的簽名和驗(yàn)證的實(shí)現(xiàn)機(jī)制,以及cookie簽名是如何增強(qiáng)網(wǎng)站的安全性的。

文本同步收錄于GitHub主題系列 《Nodejs學(xué)習(xí)筆記》

入門例子:cookie設(shè)置與解析

先從最簡(jiǎn)單的例子來看下 cookie-parser 的使用,這里采用默認(rèn)配置。

  1. cookie設(shè)置:使用 Express 的內(nèi)置方法 res.cookie() 。
  2. cookie解析:使用 cookie-parser 中間件。
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
app.use(cookieParser());
app.use(function (req, res, next) {
 console.log(req.cookies.nick); // 第二次訪問,輸出chyingp
 next();
});

app.use(function (req, res, next) { 
 res.cookie('nick', 'chyingp');
 res.end('ok');
});
app.listen(3000);

在當(dāng)前場(chǎng)景下, cookie-parser 中間件大致實(shí)現(xiàn)如下:

app.use(function (req, res, next) {
 req.cookies = cookie.parse(req.headers.cookie);
 next();
});

進(jìn)階例子:cookie簽名與解析

出于安全的考慮,我們通常需要對(duì)cookie進(jìn)行簽名。

例子改寫如下,有幾個(gè)注意點(diǎn):

  1. cookieParser 初始化時(shí),傳入 secret 作為簽名的秘鑰。
  2. 設(shè)置cookie時(shí),將 signed 設(shè)置為 true ,表示對(duì)即將設(shè)置的cookie進(jìn)行簽名。
  3. 獲取cookie時(shí),可以通過 req.cookies ,也可以通過 req.signedCookies 獲取。
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 初始化中間件,傳入的第一個(gè)參數(shù)為singed secret
app.use(cookieParser('secret'));
app.use(function (req, res, next) {
 console.log(req.cookies.nick); // chyingp
 console.log(req.signedCookies.nick); // chyingp
 next();
});
app.use(function (req, res, next) { 
 // 傳入第三個(gè)參數(shù) {signed: true},表示要對(duì)cookie進(jìn)行摘要計(jì)算
 res.cookie('nick', 'chyingp', {signed: true});
 res.end('ok');
});
app.listen(3000);

簽名前的cookie值為 chyingp ,簽名后的cookie值為 s%3Achyingp.uVofnk6k%2B9mHQpdPlQeOfjM8B5oa6mppny9d%2BmG9rD0 ,decode后為 s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0 。

下面就來分析下,cookie的簽名、解析是如何實(shí)現(xiàn)的。

cookie簽名、驗(yàn)證實(shí)現(xiàn)剖析

Express完成cookie值的簽名, cookie-parser 實(shí)現(xiàn)簽名cookie的解析。兩者共用同一個(gè)秘鑰。

cookie簽名

Express對(duì)cookie的設(shè)置(包括簽名),都是通過 res.cookie() 這個(gè)方法實(shí)現(xiàn)的。

精簡(jiǎn)后的代碼如下:

res.cookie = function (name, value, options) { 
 var secret = this.req.secret;
 var signed = opts.signed;
 // 如果 options.signed 為true,則對(duì)cookie進(jìn)行簽名
 if (signed) {
  val = 's:' + sign(val, secret);
 }
 this.append('Set-Cookie', cookie.serialize(name, String(val), opts));
 return this;
};

sign 為簽名函數(shù)。偽代碼如下,其實(shí)就是把cookie的原始值,跟hmac后的值拼接起來。

敲黑板劃重點(diǎn):簽名后的cookie值,包含了原始值。

function sign (val, secret) {
 return val + '.' + hmac(val, secret);
}

這里的 secret 哪來的呢?是 cookie-parser 初始化的時(shí)候傳入的。如下偽代碼所示:

var cookieParser = function (secret) {
 return function (req, res, next) {
  req.secret = secret;
  // ...
  next();
 };
};
app.use(cookieParser('secret'));

簽名cookie解析

知道了cookie簽名的機(jī)制后,如何"解析"簽名cookie就很清楚了。這個(gè)階段,中間件主要做了兩件事:

  1. 將簽名cookie對(duì)應(yīng)的原始值提取出來
  2. 驗(yàn)證簽名cookie是否合法

實(shí)現(xiàn)代碼如下:

// str:簽名后的cookie,比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
// secret:秘鑰,比如 "secret"
function signedCookie(str, secret) {

 // 檢查是否 s: 開頭,確保只對(duì)簽過名的cookie進(jìn)行解析
 if (str.substr(0, 2) !== 's:') {
  return str;
 }

 // 校驗(yàn)簽名的值是否合法,如合法,返回true,否則,返回false
 var val = unsign(str.slice(2), secret);
 
 if (val !== false) {
  return val;
 }

 return false;
}

判斷、提取cookie原始值比較簡(jiǎn)單。只是是 unsign 方法名比較有迷惑性。

一般只會(huì)對(duì)簽名進(jìn)行合法校驗(yàn),并沒有所謂的反簽名。

unsign 方法的代碼如下:

  1. 首先,從傳入的cookie值中,分別提取出原始值A(chǔ)1、簽名值B1。
  2. 其次,用同樣的秘鑰對(duì)A1進(jìn)行簽名,得到A2。
  3. 最后,根據(jù)A2、B1是否相等,判斷簽名是否合法。

exports.unsign = function(val, secret){

 var str = val.slice(0, val.lastIndexOf('.'))
  , mac = exports.sign(str, secret);
 
 return sha1(mac) == sha1(val) ? str : false;
};

cookie簽名的作用

主要是出于安全考慮, 防止cookie被篡改 ,增強(qiáng)安全性。

舉個(gè)小例子來看下cookie簽名是如何實(shí)現(xiàn)防篡改的。

基于前面的例子展開。假設(shè)網(wǎng)站通過 nick 這個(gè)cookie來區(qū)分當(dāng)前登錄的用戶是誰。在前面例子中,登錄用戶的cookie中,nick對(duì)應(yīng)的值如下:(decode后的)

s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0

此時(shí),有人試圖修改這個(gè)cookie值,來達(dá)到偽造身份的目的。比如修改成 xiaoming :

s:xiaoming.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0

當(dāng)網(wǎng)站收到請(qǐng)求,對(duì)簽名cookie進(jìn)行解析,發(fā)現(xiàn)簽名驗(yàn)證不通過。由此可判斷,cookie是偽造的。

hmac("xiaoming", "secret") !== "uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"

簽名就一定能夠確保安全嗎

當(dāng)然不是。

上個(gè)小節(jié)的例子,僅通過 nick 這個(gè)cookie的值來判斷登錄的是哪個(gè)用戶,這是一個(gè)非常糟糕的設(shè)計(jì)。雖然在秘鑰未知的情況下,很難偽造簽名cookie。但用戶名相同的情況下,簽名也是相同的。這種情況下,其實(shí)是很容易偽造的。

另外,開源組件的算法是公開的,因此秘鑰的安全性就成了關(guān)鍵,要確保秘鑰不泄露。

還有很多,這里不展開。

小結(jié)

本文主要對(duì) Express + cookie-parser 的簽名和解析機(jī)制進(jìn)行相對(duì)深入的介紹。

不少類似的總結(jié)文章中,把cookie的簽名說成了加密,這是一個(gè)常見的錯(cuò)誤,讀者朋友需要注意一下。

簽名部分的介紹,稍微涉及一些簡(jiǎn)單的安全知識(shí),對(duì)這塊不熟悉的同學(xué)可以留言交流。為講解方便,部分段落、用詞可能不夠嚴(yán)謹(jǐn)。如有錯(cuò)漏,敬請(qǐng)指出。

相關(guān)鏈接

https://github.com/expressjs/cookie-parser

https://github.com/chyingp/nodejs-learning-guide

以上就是本文的全部內(nèi)容,希望對(duì)大家的學(xué)習(xí)有所幫助,也希望大家多多支持腳本之家。

您可能感興趣的文章:

相關(guān)文章

  • yarn?install命令報(bào)錯(cuò)warning?package-lock.json?found解決辦法

    yarn?install命令報(bào)錯(cuò)warning?package-lock.json?found解決辦法

    這篇文章主要給大家介紹了關(guān)于yarn?install命令報(bào)錯(cuò)warning?package-lock.json?found的解決辦法,文中通過圖文將解決的辦法介紹的非常詳細(xì),還分享了更多yarn install遇到的報(bào)錯(cuò)及解決方案,需要的朋友可以參考下
    2024-02-02
  • node.js中的path.dirname方法使用說明

    node.js中的path.dirname方法使用說明

    這篇文章主要介紹了node.js中的path.dirname方法使用說明,本文介紹了path.dirname的方法說明、語法、使用實(shí)例和實(shí)現(xiàn)源碼,需要的朋友可以參考下
    2014-12-12
  • windows下更新npm和node的方法

    windows下更新npm和node的方法

    本篇文章主要介紹了windows下更新npm和node的方法,小編覺得挺不錯(cuò)的,現(xiàn)在分享給大家,也給大家做個(gè)參考。一起跟隨小編過來看看吧
    2017-11-11
  • node.js中的buffer.copy方法使用說明

    node.js中的buffer.copy方法使用說明

    這篇文章主要介紹了node.js中的buffer.copy方法使用說明,本文介紹了buffer.copy的方法說明、語法、接收參數(shù)、使用實(shí)例和實(shí)現(xiàn)源碼,需要的朋友可以參考下
    2014-12-12
  • 詳解Node中導(dǎo)入模塊require和import的區(qū)別

    詳解Node中導(dǎo)入模塊require和import的區(qū)別

    本篇文章主要介紹了詳解Node中導(dǎo)入模塊require和import的區(qū)別,具有一定的參考價(jià)值,感興趣的小伙伴們可以參考一下。
    2017-08-08
  • xtemplate node.js 的使用方法實(shí)例解析

    xtemplate node.js 的使用方法實(shí)例解析

    這篇文章主要介紹了xtemplate node.js 的使用方法實(shí)例說明,非常不錯(cuò),介紹的非常詳細(xì),具有參考借鑒價(jià)值,需要的朋友可以參考下
    2016-08-08
  • NodeJs操作MongoDB教程之分頁功能以及常見問題

    NodeJs操作MongoDB教程之分頁功能以及常見問題

    這篇文章主要給大家介紹了關(guān)于NodeJs操作MongoDB教程之分頁功能以及常見問題的相關(guān)資料,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家學(xué)習(xí)或者使用NodeJs具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-04-04
  • Node.js之刪除文件夾(含遞歸刪除)代碼實(shí)例

    Node.js之刪除文件夾(含遞歸刪除)代碼實(shí)例

    這篇文章主要介紹了Node.js之刪除文件夾(含遞歸刪除)代碼實(shí)例,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友可以參考下
    2019-09-09
  • node將geojson轉(zhuǎn)shp返回給前端的實(shí)現(xiàn)方法

    node將geojson轉(zhuǎn)shp返回給前端的實(shí)現(xiàn)方法

    這篇文章主要介紹了node將geojson轉(zhuǎn)shp返回給前端的實(shí)現(xiàn)方法,文中通過示例代碼介紹的非常詳細(xì),對(duì)大家的學(xué)習(xí)或者工作具有一定的參考學(xué)習(xí)價(jià)值,需要的朋友們下面隨著小編來一起學(xué)習(xí)學(xué)習(xí)吧
    2019-05-05
  • node.js調(diào)用腳本(python/shell)和系統(tǒng)命令

    node.js調(diào)用腳本(python/shell)和系統(tǒng)命令

    這篇文章介紹了node.js調(diào)用腳本(python/shell)和系統(tǒng)命令的方法,文中通過示例代碼介紹的非常詳細(xì)。對(duì)大家的學(xué)習(xí)或工作具有一定的參考借鑒價(jià)值,需要的朋友可以參考下
    2022-07-07

最新評(píng)論