首頁 > web前端 > js教程 > 在Express如何使用cookie-parser中介軟體

在Express如何使用cookie-parser中介軟體

亚连
發布: 2018-06-08 14:54:28
原創
1814 人瀏覽過

本篇文章主要介紹了深入剖析Express cookie-parser中間件實作範例,現在分享給大家,也為大家做個參考。

文章導讀

cookie-parser 是Express的中間件,用來實現cookie的解析,是官方腳手架內建的中間件之一。

它的使用非常簡單,但在使用過程中偶爾也會遇到問題。一般都是因為對 Express cookie-parser 的簽名、驗證機制不了解所導致的。

本文深入解說 Express cookie-parser 的簽章和驗證的實作機制,以及cookie簽章是如何增強網站的安全性的。

文字同步收錄於GitHub主題系列《Nodejs學習筆記》

#入門範例:cookie設定與解析

先從最簡單的例子來看cookie-parser 的使用,這裡採用預設配置。

  1. cookie設定:使用 Express 的內建方法 res.cookie() 。

  2. cookie解析:使用 cookie-parser 中介軟體。

var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
app.use(cookieParser());
app.use(function (req, res, next) {
 console.log(req.cookies.nick); // 第二次访问,输出chyingp
 next();
});

app.use(function (req, res, next) { 
 res.cookie('nick', 'chyingp');
 res.end('ok');
});
app.listen(3000);
登入後複製

在目前場景下, cookie-parser 中介軟體大致實作如下:

app.use(function (req, res, next) {
 req.cookies = cookie.parse(req.headers.cookie);
 next();
});
登入後複製

進階範例:cookie簽章與解析

出於安全的考慮,我們通常需要對cookie進行簽署。

範例改寫如下,有幾個注意點:

  1. cookieParser 初始化時,傳入 secret 作為簽章的秘鑰。

  2. 設定cookie時,將 signed 設為 true ,表示即將設定的cookie進行簽署。

  3. 取得cookie時,可以透過 req.cookies ,也可以透過 req.signedCookies 取得。

var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 初始化中间件,传入的第一个参数为singed secret
app.use(cookieParser('secret'));
app.use(function (req, res, next) {
 console.log(req.cookies.nick); // chyingp
 console.log(req.signedCookies.nick); // chyingp
 next();
});
app.use(function (req, res, next) { 
 // 传入第三个参数 {signed: true},表示要对cookie进行摘要计算
 res.cookie('nick', 'chyingp', {signed: true});
 res.end('ok');
});
app.listen(3000);
登入後複製

簽章前的cookie值為chyingp ,簽署後的cookie值為s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0 ,dedecode後為s:chyingp.uVofnk6k 9mHQpdPlQeOfjM8B5oa6mppny9d mG9rD0

下面就來分析下,cookie的簽章、解析是如何實現的。

cookie簽章、驗證實作剖析

#Express完成cookie值的簽名, cookie-parser 實作簽章cookie的解析。兩者共用同一個秘鑰。

cookie簽章

Express對cookie的設定(包含簽章),都是透過 res.cookie() 這個方法實現的。

精簡後的程式碼如下:

res.cookie = function (name, value, options) { 
 var secret = this.req.secret;
 var signed = opts.signed;
 // 如果 options.signed 为true,则对cookie进行签名
 if (signed) {
  val = 's:' + sign(val, secret);
 }
 this.append('Set-Cookie', cookie.serialize(name, String(val), opts));
 return this;
};
登入後複製

sign 為簽章函數。偽代碼如下,其實就是把cookie的原始值,跟hmac後的值拼接起來。

敲黑板劃重點:簽章後的cookie值,包含了原始值。

function sign (val, secret) {
 return val + '.' + hmac(val, secret);
}
登入後複製

這裡的 secret 哪來的呢?是 cookie-parser 初始化的時候傳入的。如下偽代碼所示:

var cookieParser = function (secret) {
 return function (req, res, next) {
  req.secret = secret;
  // ...
  next();
 };
};
app.use(cookieParser('secret'));
登入後複製

簽名cookie解析

知道了cookie簽章的機制後,如何"解析"簽章cookie就很清楚了。這個階段,中間件主要做了兩件事:

  1. 將簽章cookie對應的原始值提取出來

  2. 驗證簽章cookie是否合法

實作程式碼如下:

// str:签名后的cookie,比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
// secret:秘钥,比如 "secret"
function signedCookie(str, secret) {

 // 检查是否 s: 开头,确保只对签过名的cookie进行解析
 if (str.substr(0, 2) !== 's:') {
  return str;
 }

 // 校验签名的值是否合法,如合法,返回true,否则,返回false
 var val = unsign(str.slice(2), secret);
 
 if (val !== false) {
  return val;
 }

 return false;
}
登入後複製

判斷、提取cookie原始值比較簡單。只是是 unsign 方法名稱比較有迷惑性。

一般只會對簽名進行合法校驗,並沒有所謂的反簽名。

unsign 方法的程式碼如下:

  1. #首先,從傳入的cookie值中,分別擷取原始值A1、簽章值B1 。

  2. 其次,用同樣的秘鑰對A1進行簽名,得到A2。

  3. 最後,根據A2、B1是否相等,判斷簽章是否合法。

exports.unsign = function(val, secret){

 var str = val.slice(0, val.lastIndexOf('.'))
  , mac = exports.sign(str, secret);
 
 return sha1(mac) == sha1(val) ? str : false;
};
登入後複製

cookie簽章的作用

#主要是出於安全考慮, 防止cookie被篡改,增強安全性。

舉個小例子來看下cookie簽章是如何實現防篡改的。

基於前面的範例展開。假設網站透過 nick 這個cookie來區分目前登入的使用者是誰。在前面例子中,登錄用戶的cookie中,nick對應的值如下:(decode後的)

s:chyingp.uVofnk6k 9mHQpdPlQeOfjM8B5oa6mppny9d mG9rD0

此時,有人試圖修改這個cookie值,來達到偽造身分的目的。例如修改成 xiaoming :

s:xiaoming.uVofnk6k 9mHQpdPlQeOfjM8B5oa6mppny9d mG9rD0

當網站收到請求,對簽章cookie進行解析,發現簽章驗證不通過。由此可判斷,cookie是偽造的。

hmac("xiaoming", "secret") !== "uVofnk6k 9mHQpdPlQeOfjM8B5oa6mppny9d mG9rD0"

#簽名就一定能夠確保安全嗎

###當然不是。 ###

上個小節的例子,僅透過 nick 這個cookie的值來判斷登入的是哪個用戶,這是一個非常糟糕的設計。雖然在秘鑰未知的情況下,很難偽造簽名cookie。但用戶名相同的情況下,簽名也是相同的。這種情況下,其實是很容易偽造的。

上面是我整理給大家的,希望今後對大家有幫助。

相關文章:

Vue元件通訊(詳細教學)

#Vue Socket.io原始碼詳細分析

使用原生JavaScript實作放大鏡效果

以上是在Express如何使用cookie-parser中介軟體的詳細內容。更多資訊請關注PHP中文網其他相關文章!

相關標籤:
來源:php.cn
本網站聲明
本文內容由網友自願投稿,版權歸原作者所有。本站不承擔相應的法律責任。如發現涉嫌抄襲或侵權的內容,請聯絡admin@php.cn
熱門教學
更多>
最新下載
更多>
網站特效
網站源碼
網站素材
前端模板