您好,登錄后才能下訂單哦!
這篇文章給大家分享的是有關(guān)Express cookie-parser中間件的示例分析的內(nèi)容。小編覺得挺實用的,因此分享給大家做個參考,一起跟隨小編過來看看吧。
先從最簡單的例子來看下 cookie-parser 的使用,這里采用默認(rèn)配置。
cookie設(shè)置:使用 Express 的內(nèi)置方法 res.cookie() 。
cookie解析:使用 cookie-parser 中間件。
var express = require('express'); var cookieParser = require('cookie-parser'); var app = express(); app.use(cookieParser()); app.use(function (req, res, next) { console.log(req.cookies.nick); // 第二次訪問,輸出chyingp next(); }); app.use(function (req, res, next) { res.cookie('nick', 'chyingp'); res.end('ok'); }); app.listen(3000);
在當(dāng)前場景下, cookie-parser 中間件大致實現(xiàn)如下:
app.use(function (req, res, next) { req.cookies = cookie.parse(req.headers.cookie); next(); });
出于安全的考慮,我們通常需要對cookie進行簽名。
例子改寫如下,有幾個注意點:
cookieParser 初始化時,傳入 secret 作為簽名的秘鑰。
設(shè)置cookie時,將 signed 設(shè)置為 true ,表示對即將設(shè)置的cookie進行簽名。
獲取cookie時,可以通過 req.cookies ,也可以通過 req.signedCookies 獲取。
var express = require('express'); var cookieParser = require('cookie-parser'); var app = express(); // 初始化中間件,傳入的第一個參數(shù)為singed secret app.use(cookieParser('secret')); app.use(function (req, res, next) { console.log(req.cookies.nick); // chyingp console.log(req.signedCookies.nick); // chyingp next(); }); app.use(function (req, res, next) { // 傳入第三個參數(shù) {signed: true},表示要對cookie進行摘要計算 res.cookie('nick', 'chyingp', {signed: true}); res.end('ok'); }); app.listen(3000);
簽名前的cookie值為 chyingp
,簽名后的cookie值為 s%3Achyingp.uVofnk6k%2B9mHQpdPlQeOfjM8B5oa6mppny9d%2BmG9rD0
,decode后為 s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
。
下面就來分析下,cookie的簽名、解析是如何實現(xiàn)的。
Express完成cookie值的簽名, cookie-parser 實現(xiàn)簽名cookie的解析。兩者共用同一個秘鑰。
cookie簽名
Express對cookie的設(shè)置(包括簽名),都是通過 res.cookie() 這個方法實現(xiàn)的。
精簡后的代碼如下:
res.cookie = function (name, value, options) { var secret = this.req.secret; var signed = opts.signed; // 如果 options.signed 為true,則對cookie進行簽名 if (signed) { val = 's:' + sign(val, secret); } this.append('Set-Cookie', cookie.serialize(name, String(val), opts)); return this; };
sign 為簽名函數(shù)。偽代碼如下,其實就是把cookie的原始值,跟hmac后的值拼接起來。
敲黑板劃重點:簽名后的cookie值,包含了原始值。
function sign (val, secret) { return val + '.' + hmac(val, secret); }
這里的 secret
哪來的呢?是 cookie-parser
初始化的時候傳入的。如下偽代碼所示:
var cookieParser = function (secret) { return function (req, res, next) { req.secret = secret; // ... next(); }; }; app.use(cookieParser('secret'));
簽名cookie解析
知道了cookie簽名的機制后,如何"解析"簽名cookie就很清楚了。這個階段,中間件主要做了兩件事:
將簽名cookie對應(yīng)的原始值提取出來
驗證簽名cookie是否合法
實現(xiàn)代碼如下:
// str:簽名后的cookie,比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0" // secret:秘鑰,比如 "secret" function signedCookie(str, secret) { // 檢查是否 s: 開頭,確保只對簽過名的cookie進行解析 if (str.substr(0, 2) !== 's:') { return str; } // 校驗簽名的值是否合法,如合法,返回true,否則,返回false var val = unsign(str.slice(2), secret); if (val !== false) { return val; } return false; }
判斷、提取cookie原始值比較簡單。只是是 unsign 方法名比較有迷惑性。
一般只會對簽名進行合法校驗,并沒有所謂的反簽名。
unsign
方法的代碼如下:
首先,從傳入的cookie值中,分別提取出原始值A(chǔ)1、簽名值B1。
其次,用同樣的秘鑰對A1進行簽名,得到A2。
最后,根據(jù)A2、B1是否相等,判斷簽名是否合法。
exports.unsign = function(val, secret){
var str = val.slice(0, val.lastIndexOf('.')) , mac = exports.sign(str, secret); return sha1(mac) == sha1(val) ? str : false; };
主要是出于安全考慮, 防止cookie被篡改 ,增強安全性。
舉個小例子來看下cookie簽名是如何實現(xiàn)防篡改的。
基于前面的例子展開。假設(shè)網(wǎng)站通過 nick 這個cookie來區(qū)分當(dāng)前登錄的用戶是誰。在前面例子中,登錄用戶的cookie中,nick對應(yīng)的值如下:(decode后的)
s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
此時,有人試圖修改這個cookie值,來達到偽造身份的目的。比如修改成 xiaoming :
s:xiaoming.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
當(dāng)網(wǎng)站收到請求,對簽名cookie進行解析,發(fā)現(xiàn)簽名驗證不通過。由此可判斷,cookie是偽造的。
hmac("xiaoming", "secret") !== "uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
當(dāng)然不是。
上個小節(jié)的例子,僅通過 nick 這個cookie的值來判斷登錄的是哪個用戶,這是一個非常糟糕的設(shè)計。雖然在秘鑰未知的情況下,很難偽造簽名cookie。但用戶名相同的情況下,簽名也是相同的。這種情況下,其實是很容易偽造的。
另外,開源組件的算法是公開的,因此秘鑰的安全性就成了關(guān)鍵,要確保秘鑰不泄露。
還有很多,這里不展開。
感謝各位的閱讀!關(guān)于“Express cookie-parser中間件的示例分析”這篇文章就分享到這里了,希望以上內(nèi)容可以對大家有一定的幫助,讓大家可以學(xué)到更多知識,如果覺得文章不錯,可以把它分享出去讓更多的人看到吧!
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點不代表本網(wǎng)站立場,如果涉及侵權(quán)請聯(lián)系站長郵箱:is@yisu.com進行舉報,并提供相關(guān)證據(jù),一經(jīng)查實,將立刻刪除涉嫌侵權(quán)內(nèi)容。