本篇文章主要介紹了深入剖析Express cookie-parser中間件實作範例,現在分享給大家,也為大家做個參考。
cookie-parser 是Express的中間件,用來實現cookie的解析,是官方腳手架內建的中間件之一。
它的使用非常簡單,但在使用過程中偶爾也會遇到問題。一般都是因為對 Express cookie-parser 的簽名、驗證機制不了解所導致的。
本文深入解說 Express cookie-parser 的簽章和驗證的實作機制,以及cookie簽章是如何增強網站的安全性的。
文字同步收錄於GitHub主題系列《Nodejs學習筆記》
先從最簡單的例子來看cookie-parser 的使用,這裡採用預設配置。
cookie設定:使用 Express 的內建方法 res.cookie() 。
cookie解析:使用 cookie-parser 中介軟體。
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
app.use(cookieParser());
app.use(function (req, res, next) {
console.log(req.cookies.nick); // 第二次访问,输出chyingp
next();
});
app.use(function (req, res, next) {
res.cookie('nick', 'chyingp');
res.end('ok');
});
app.listen(3000);在目前場景下, cookie-parser 中介軟體大致實作如下:
app.use(function (req, res, next) {
req.cookies = cookie.parse(req.headers.cookie);
next();
});出於安全的考慮,我們通常需要對cookie進行簽署。
範例改寫如下,有幾個注意點:
cookieParser 初始化時,傳入 secret 作為簽章的秘鑰。
設定cookie時,將 signed 設為 true ,表示即將設定的cookie進行簽署。
取得cookie時,可以透過 req.cookies ,也可以透過 req.signedCookies 取得。
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 初始化中间件,传入的第一个参数为singed secret
app.use(cookieParser('secret'));
app.use(function (req, res, next) {
console.log(req.cookies.nick); // chyingp
console.log(req.signedCookies.nick); // chyingp
next();
});
app.use(function (req, res, next) {
// 传入第三个参数 {signed: true},表示要对cookie进行摘要计算
res.cookie('nick', 'chyingp', {signed: true});
res.end('ok');
});
app.listen(3000);簽章前的cookie值為chyingp ,簽署後的cookie值為s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0 ,dedecode後為s:chyingp.uVofnk6k 9mHQpdPlQeOfjM8B5oa6mppny9d mG9rD0 。
下面就來分析下,cookie的簽章、解析是如何實現的。
#Express完成cookie值的簽名, cookie-parser 實作簽章cookie的解析。兩者共用同一個秘鑰。
cookie簽章
Express對cookie的設定(包含簽章),都是透過 res.cookie() 這個方法實現的。
精簡後的程式碼如下:
res.cookie = function (name, value, options) {
var secret = this.req.secret;
var signed = opts.signed;
// 如果 options.signed 为true,则对cookie进行签名
if (signed) {
val = 's:' + sign(val, secret);
}
this.append('Set-Cookie', cookie.serialize(name, String(val), opts));
return this;
};sign 為簽章函數。偽代碼如下,其實就是把cookie的原始值,跟hmac後的值拼接起來。
敲黑板劃重點:簽章後的cookie值,包含了原始值。
function sign (val, secret) {
return val + '.' + hmac(val, secret);
}這裡的 secret 哪來的呢?是 cookie-parser 初始化的時候傳入的。如下偽代碼所示:
var cookieParser = function (secret) {
return function (req, res, next) {
req.secret = secret;
// ...
next();
};
};
app.use(cookieParser('secret'));簽名cookie解析
知道了cookie簽章的機制後,如何"解析"簽章cookie就很清楚了。這個階段,中間件主要做了兩件事:
將簽章cookie對應的原始值提取出來
驗證簽章cookie是否合法
實作程式碼如下:
// str:签名后的cookie,比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
// secret:秘钥,比如 "secret"
function signedCookie(str, secret) {
// 检查是否 s: 开头,确保只对签过名的cookie进行解析
if (str.substr(0, 2) !== 's:') {
return str;
}
// 校验签名的值是否合法,如合法,返回true,否则,返回false
var val = unsign(str.slice(2), secret);
if (val !== false) {
return val;
}
return false;
}判斷、提取cookie原始值比較簡單。只是是 unsign 方法名稱比較有迷惑性。
一般只會對簽名進行合法校驗,並沒有所謂的反簽名。
unsign 方法的程式碼如下:
#首先,從傳入的cookie值中,分別擷取原始值A1、簽章值B1 。
其次,用同樣的秘鑰對A1進行簽名,得到A2。
最後,根據A2、B1是否相等,判斷簽章是否合法。
exports.unsign = function(val, secret){
var str = val.slice(0, val.lastIndexOf('.')) , mac = exports.sign(str, secret); return sha1(mac) == sha1(val) ? str : false; };
#主要是出於安全考慮, 防止cookie被篡改,增強安全性。
舉個小例子來看下cookie簽章是如何實現防篡改的。
基於前面的範例展開。假設網站透過 nick 這個cookie來區分目前登入的使用者是誰。在前面例子中,登錄用戶的cookie中,nick對應的值如下:(decode後的)
s:chyingp.uVofnk6k 9mHQpdPlQeOfjM8B5oa6mppny9d mG9rD0
此時,有人試圖修改這個cookie值,來達到偽造身分的目的。例如修改成 xiaoming :
s:xiaoming.uVofnk6k 9mHQpdPlQeOfjM8B5oa6mppny9d mG9rD0
當網站收到請求,對簽章cookie進行解析,發現簽章驗證不通過。由此可判斷,cookie是偽造的。
hmac("xiaoming", "secret") !== "uVofnk6k 9mHQpdPlQeOfjM8B5oa6mppny9d mG9rD0"
上個小節的例子,僅透過 nick 這個cookie的值來判斷登入的是哪個用戶,這是一個非常糟糕的設計。雖然在秘鑰未知的情況下,很難偽造簽名cookie。但用戶名相同的情況下,簽名也是相同的。這種情況下,其實是很容易偽造的。
上面是我整理給大家的,希望今後對大家有幫助。
相關文章:
以上是在Express如何使用cookie-parser中介軟體的詳細內容。更多資訊請關注PHP中文網其他相關文章!
