一、关于cookie加密

cookie加密是让客户端用户无法的值cookie明文信息,是数据安全的重要部分;一般的我们可以在保存cookie时对cookie信息进行加密,或者在res.cookie中对option对象的signed属性设置设置成true即可。

二、使用 signed 属性进行cookie加密

如下列代码:

const express = require("express");

const cookieParser = require("cookie-parser");

var app = express();

app.use(cookieParser('secret'));

app.get("/",function(req,res){

	res.send("主页");

});

//获取cookie

app.use(function(req,res,next){

	console.log(req.signedCookies.name);

	next();

});

//设置cookie

app.use(function(req,res,next){

	console.log(res.cookie("name","zhangsan",{httpOnly: true,maxAge: 200000,signed: true}));

	res.end("cookie为:"+req.signedCookies.name);

});

app.listen(8080);

  签名原理

Express用于对cookie签名,而cookie-parser则是实现对签名的解析。实质是把cookie设置的值和cookieParser('secret');中的secret进行hmac加密,之后和cookie值加“.”的方式拼接起来。
当option中signed设置为true后,底层会将cookie的值与“secret”进行hmac加密;

if(opts.signed){

	sign(cookieVal, secret);

}

function sign (cookieVal, secret) {

 return cookieVal + '.' + hmac(cookieVal, secret);

}

  如何解析

cookie-parser中间件在解析签名cookie时做了两件事:
1.将签名cookie对应的原始值提取出来
2.验证签名cookie是否合法
如下面代码:

//将签名后的cooki和密匙secret密匙传入

function signedCookie (str, secret) {

  if (typeof str !== 'string') {

    return undefined

  }

//验证cookie以“s:”开头

  if (str.substr(0, 2) !== 's:') {

    return str

  }

//验证签名的值是否合法,返回true或false

  var secrets = !secret || Array.isArray(secret) ? (secret || []) : [secret]

  for (var i = 0; i < secrets.length; i++) {

    var val = signature.unsign(str.slice(2), secrets[i])

    if (val !== false) {

      return val

    }

  }

  return false

}

  上面引入自signature模块的unsign方法,他则是重新将得到的原始值进行相同签名,然后再和之前的签名值进行比较,结果相同则判断签名是否合法。 signature.unsign 代码如下:

exports.unsign = function(val, secret){

  if ('string' != typeof val) throw new TypeError("Signed cookie string must be provided.");

  if ('string' != typeof secret) throw new TypeError("Secret string must be provided.");

  var str = val.slice(0, val.lastIndexOf('.'))

    , mac = exports.sign(str, secret);

  return sha1(mac) == sha1(val) ? str : false;

};

三、直接对cookie值加密

  node为我们提供了一个核心安全模块“crypto”,它提供了很多安全相关的功能,如摘要运算、加密、电子签名等。
这是,我们便可很轻易的封装一个加密模块:

const crypto=require('crypto');

module.exports={

	//MD5封装

	MD5_SUFFIX:'s5w84&&d4d473885s2025s5*4s2',

	md5:function(str){

		var obj=crypto.createHash('md5');

		obj.update(str);

		return obj.digest('hex');

	}

}

  之后只需要进行相应导入即可:

const common=require('./MD5');

var str='123456';

var str=common.md5(str+'s5w84&&d4d473885s2025s5*4s2');

console.log(str);

  设置cookie代码如下:

const express=require("express");

const cookieParser=require("cookie-parser");

var cry = require('./md5');

var app=express();

var str='hello-123';

var str=cry.md5(str+'s5w84&&d4d473885s2025s5*4s2');

//设置中间件

app.use(cookieParser());

//获取加密cookie

app.use(function(req,res,next){

	console.log(req.cookies.userName);

	next();

});

//设置并加密cookie

app.use(function(req,res,next){

	res.cookie("userName", str, {maxAge: 5*60*1000, httpOnly: true});

	res.end("set ok");

});

app.listen(8080);

  

如果是在判断登录时,只需将用户输入的账号进行同样加密操作在进行比较即可知道账户是否正确。
crypto所涉及的加密方式有很多,推荐大家都写模块引用,这样更方便后期的维护。

Express全系列教程之(七):cookie的加密的更多相关文章

  1. Express全系列教程之(六):cookie的使用

    一.关于Cookie 在我们关闭一个登录过的网址并重新打开它后,我们的登录信息依然没有丢失:当我们浏览了商品后历史记录里出现了我们点击过的商品:当我们推回到首页后,推荐商品也为我们选出了相似物品:事实 ...

  2. Express全系列教程之(九):将session上传至mysql数据库

    一.简介 实际引用中,有些公司在不同地区会设置不同服务器,因此就需要用到nginx以实现负载均衡,这时,将session数据保存至数据库就成为了需要面对的问题,我们以MySQL数据库为例,看看他是如何 ...

  3. Express全系列教程之(八):session的基本使用

    一.关于session session是另一种记录客户状态的机制,与cookie保存在客户端浏览器不同,session保存在服务器当中:当客户端访问服务器时,服务器会生成一个session对象,对象中 ...

  4. Express全系列教程之(五):Express的中间件

    一.中间件 从字面意思,我们可以了解到它大概就是做中间代理操作,事实也是如此:大多数情况下,中间件就是在做接收到请求和发送响应中间的一系列操作.事实上,express是一个路由和中间件的web框架,E ...

  5. Express全系列教程之(四):获取Post参数的两种方式

    一.关于POST请求 post方法作为http请求很重要的一部分,几乎所有的网站都有用到它,与get不同,post请求更像是在服务器上做修改操作,它一般用于数据资源的更新.相比于get请求,post所 ...

  6. Express全系列教程之(三):get传参

    一.关于get请求 一般在网站开发中,get都用作数据获取和查询,类似于数据库中的查询操作,当服务器解析前台资源后即传输相应内容:而查询字符串是在URL上进行的,形如: http://localhos ...

  7. Express全系列教程之(二):Express的路由以及动态路由

    一.Express路由简介 路由表示应用程序端点 (URI) 的定义以及响应客户端请求的方式.它包含一个请求方时(methods).路径(path)和路由匹配时的函数(callback); app.m ...

  8. Express全系列教程之(一):Express的安装 和第一个程序

    前言 ndoe.js,一个基于javsscript运行环境的服务器语言,它的出现使得javascript有能力去实现服务器操作.在gitHub上ndoe.js的star数已接近6万,可见其受欢迎程度: ...

  9. Express全系列教程之(十):jade模板引擎

    一.前言 随着前端业务的不断发展,页面交互逻辑的不断提高,让数据和界面实现分离渐渐被提了出来.JavaScript的MVC思想也流行了起来,在这种背景下,基于node.js的模板引擎也随之出现. 什么 ...

随机推荐

  1. C#学习笔记-XML的读写(一)

    需要解析的配置XML <?xml version="1.0" encoding="utf-8" ?> <configurations> ...

  2. css之自定义滚动条

    <div class="alertbox index-rulebox" style="display:none"> <div class=&q ...

  3. centos 搭建 leanote

    centos 搭建leanote(蚂蚁笔记) 至于蚂蚁笔记是什么可以看官网的介绍,https://leanote.com/  ,我只能说 nice,你值得拥有. 开始搭建(源码安装,安装路径在 /et ...

  4. Java_修饰符

    目录 访问控制修饰符 非访问修饰符 在java中修饰符主要分为两类:++访问修饰符++和++非访问修饰符++ 访问控制修饰符 修饰符 当前类 同一包内 子孙类 其他包 其他包子孙类 public Y ...

  5. 网络流24题——试题库问题 luogu 2763

    题目描述看:这里 这是我们遇到的第一个要求输出方案的问题 考虑建图然后用最大流思想: 首先由源点向每一道试题连边,容量为1 然后由每一种试题类型向汇点连边,容量为需求量 最后由每一道试题向可能属于的试 ...

  6. Linux安装与基本命令

    安装centos镜像 #下载地址https://www.centos.org/download/ http://isoredirect.centos.org/centos/7/isos/x86_64/ ...

  7. RxJS操作符(一)

    一.创建类操作符 创建类操作符是连接传统编程和响应式编程的强梁 from: 可以把数组.Promise.以及Iterable转化为Observable. fromEvent: 可以把事件转化为Obse ...

  8. html_头部<meta>设置

    <!DOCTYPE html> : 定义HTML的规则类型:浏览器兼容性最好 <!DOCTYPE html><html> <head> <!--编 ...

  9. sql语句表连接删除

    DELETE 表1,表2FROM 表1 LEFT JOIN 表2 ON 表1.id=表2.id WHERE 表1.id=需要删除的ID

  10. 如何写一个Js上传图片插件。

    项目里面需要一个上传图片的插件,找了半天没有找到满意的,算了 不找了,自己写一个吧,顺便复习一下js方面的知识.完成之后效果还不错,当然还要继续优化,源码在最后. 介绍一种常见的js插件的写法 ; ( ...