NodeJS学习笔记 进阶 (9)express+cookie-parser:签名机制深入剖析(ok)
个人总结:这篇文章讲解了express框架种cookie的使用,需要引用cookie-parser这个包。读完这篇文章需要10分钟。
摘选自网络
文章导读
cookie-parser
是Express的中间件,用来实现cookie的解析,是官方脚手架内置的中间件之一。
它的使用非常简单,但在使用过程中偶尔也会遇到问题。一般都是因为对Express + cookie-parser
的签名、验证机制不了解导致的。
本文深入讲解Express + cookie-parser
的签名和验证的实现机制,以及cookie签名是如何增强网站的安全性的。
入门例子:cookie设置与解析
先从最简单的例子来看下cookie-parser
的使用,下面采用默认配置。
- cookie设置:使用
Express
的内置方法res.cookie
。 - cookie解析:使用
cookie-parser
中间件。
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express(); app.use(cookieParser()); app.use(function (req, res, next) {
console.log(req.cookies.nick); // 第二次访问,输出chyingp
next();
}); app.use(function (req, res, next) {
res.cookie('nick', 'chyingp');
res.end('ok');
}); app.listen(3000);
在当前场景下,cookie-parser
中间件大致实现如下:
app.use(function (req, res, next) {
req.cookies = cookie.parse(req.headers.cookie);
next();
});
进阶例子:cookie签名与解析
出于安全的考虑,我们通常需要对cookie进行签名。
例子改写如下,有两个注意点:
cookieParser
初始化时,传入secret
作为签名的秘钥。- 设置cookie时,将
signed
设置为true
,表示对cookie进行签名。 - 获取cookie时,可以同时通过
req.cookies
,也可以通过req.signedCookies
获取。
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express(); // 初始化中间件,传入的第一个参数为singed secret
app.use(cookieParser('secret')); app.use(function (req, res, next) {
console.log(req.cookies.nick); // chyingp
console.log(req.signedCookies.nick); // chyingp
next();
}); app.use(function (req, res, next) {
// 传入第三个参数 {signed: true},表示要对cookie进行摘要计算
res.cookie('nick', 'chyingp', {signed: true});
res.end('ok');
}); app.listen(3000);
签名前的cookie值为chyingp
,签名后的cookie值为s%3Achyingp.uVofnk6k%2B9mHQpdPlQeOfjM8B5oa6mppny9d%2BmG9rD0
。
下面就来分析下,cookie的签名、解析是如何实现的。
cookie签名、解析实现剖析
Express完成cookie值的签名,cookie-parser
实现签名cookie的解析。两者公用同一个秘钥。
cookie签名
Express对cookie的设置(包括签名),都是通过res.cookie
这个方法实现的。
精简后的代码如下:
res.cookie = function (name, value, options) {
var secret = this.req.secret;
var signed = opts.signed; // 如果 options.signed 为true,则对cookie进行签名
if (signed) {
val = 's:' + sign(val, secret);
} this.append('Set-Cookie', cookie.serialize(name, String(val), opts)); return this;
};
sign
为签名函数。伪代码如下,其实就是把cookie的原始值,跟hmac后的值拼接起来。
敲黑板划重点:签名后的cookie值,包含了原始值。
function sign (val, secret) {
return val + '.' + hmac(val, secret);
}
这里的secret
哪来的呢?是cookie-parser
初始化的时候传入的。如下伪代码所示:
var cookieParser = function (secret) {
return function (req, res, next) {
req.secret = secret;
// ...
next();
};
}; app.use(cookieParser('secret'));
签名cookie解析
知道了cookie签名的机制后,如何"解析"签名cookie就很清楚了。这个阶段,中间件主要做了两件事:
- 将签名cookie对应的原始值提取出来
- 验证签名cookie是否合法
实现代码如下:
// str:签名后的cookie,比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
// secret:秘钥,比如 "secret"
function signedCookie(str, secret) { // 检查是否 s: 开头,确保只对签过名的cookie进行解析
if (str.substr(0, 2) !== 's:') {
return str;
} // 校验签名的值是否合法,如合法,返回true,否则,返回false
var val = unsign(str.slice(2), secret); if (val !== false) {
return val;
} return false;
}
判断、提取cookie原始值比较简单。只是是unsign
方法名比较有迷惑性。
一般只会对签名进行合法校验,并没有所谓的反签名。
unsign
方法的代码如下。首先,从传入的cookie值中,分别提取出原始值A1、签名值B1。用同样的秘钥对A1进行签名,得到A2。根据A2、B1是否相等,判断签名是否合法。
exports.unsign = function(val, secret){
var str = val.slice(0, val.lastIndexOf('.'))
, mac = exports.sign(str, secret); return sha1(mac) == sha1(val) ? str : false;
};
cookie签名的作用
主要是出于安全考虑,防止cookie被篡改,增强安全性。
举个小例子来看下cookie签名是如何实现防篡改的。
基于前面的例子展开。假设网站通过nick
这个cookie来区分当前登录的用户是谁。在前面例子中,登录用户的cookie中,nick对应的值如下:(decode后的)
s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
此时,有人试图修改这个cookie值,来达到伪造身份的目的。比如修改成xiaoming
:
s:xiaoming.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
当网站收到请求,对签名cookie进行解析,发现签名验证不通过。由此可判断,cookie是伪造的。
hmac("xiaoming", "secret") !== "uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
签名就能够确保安全吗
当然不是。
上个小节的例子,仅通过nick
这个cookie的值来判断登录的是哪个用户,这是一个非常糟糕的设计。虽然在秘钥未知的情况下,很难伪造签名cookie的,但原始值相同的情况下,签名也是相同的。这种情况下,其实是很容易伪造的。
另外,开源组件的算法是公开的,因此秘钥的安全性就成了关键,要确保秘钥不泄露。
还有很多,这里不展开。
小结
本文主要对Express + cookie-parser
的签名和解析机制进行相对深入的介绍。不少类似的总结文章中,把cookie的签名说成了加密,这是一个常见的错误,读者朋友可以注意一下。
签名部分的介绍,稍微涉及一些简单的安全知识,对这块不熟悉的同学可以留言交流。为讲解方便,部分段落、用词可能不够严谨。如有错漏,敬请指出。
相关链接
NodeJS学习笔记 进阶 (9)express+cookie-parser:签名机制深入剖析(ok)的更多相关文章
- NodeJS学习笔记 进阶 (7)express+session实现简易身份认证(ok)
个人总结: 这篇文章讲解了express框架中如何使用session,主要用了express-session这个包.更多可以参考npm.js来看,读完这篇文章需要10分钟. 摘选自网络: 文档概览 本 ...
- NodeJS学习笔记 进阶 (8)express+morgan实现日志记录(ok)
个人总结:这篇文章讲解了Express框架中日志记录插件morgan的示例.读完这篇文章需要10分钟 摘选自网络 章节概览 morgan是express默认的日志中间件,也可以脱离express,作为 ...
- NodeJS学习笔记 进阶 (13)Nodejs进阶:5分钟入门非对称加密用法
个人总结:读完这篇文章需要5分钟,这篇文章讲解了Node.js非对称加密算法的实现. 摘录自网络 地址: https://github.com/chyingp/nodejs-learning-guid ...
- NodeJS学习笔记 进阶 (12)Nodejs进阶:crypto模块之理论篇
个人总结:读完这篇文章需要30分钟,这篇文章讲解了使用Node处理加密算法的基础. 摘选自网络 Nodejs进阶:crypto模块之理论篇 一. 文章概述 互联网时代,网络上的数据量每天都在以惊人的速 ...
- NodeJS学习笔记 进阶 (1)Nodejs进阶:服务端字符编解码&乱码处理(ok)
个人总结:这篇文章主要讲解了Nodejs处理服务器乱码及编码的知识,读完这篇文章需要10分钟. 摘选自网络 写在前面 在web服务端开发中,字符的编解码几乎每天都要打交道.编解码一旦处理不当,就会出现 ...
- NodeJS学习笔记 进阶 (4)基于express+muter的文件上传(ok)
个人总结:这篇文章主要讲了multer插件的使用,类似于formidable,可以用来处理post表单中的文件上传,读完这篇文章需要10分钟. 摘选自网络 概览 图片上传是web开发中经常用到的功能, ...
- NodeJS学习笔记 进阶 (3)Nodejs 进阶:Express 常用中间件 body-parser 实现解析(ok)
个人总结:Node.js处理post表单需要body-parser,这篇文章进行了详细的讲解. 摘选自网络 写在前面 body-parser是非常常用的一个express中间件,作用是对http请求体 ...
- NodeJS学习笔记 进阶 (11)Nodejs 进阶:调试日志打印:debug模块
个人总结:读完这篇文章需要5分钟,讲解了debug模块的使用 摘选自网络 前言 在node程序开发中时,经常需要打印调试日志.用的比较多的是debug模块,比如express框架中就用到了.下文简单举 ...
- NodeJS学习笔记 进阶 (5)将图片转成datauri嵌入到html(ok)
个人总结:这篇文章讲解了使用Node处理转换base64编码图片,读完这篇文章需要5分钟. 摘选自网络 问题:将图片转成datauri 今天,在QQ群有个群友问了个问题:“nodejs读取图片,转成b ...
随机推荐
- xBIM 基础15 IFC导出Excel报表
系列目录 [已更新最新开发文章,点击查看详细] IFC导出Excel空间报表文件 本篇将向您展示从IFC文件读取数据所需的一些概念.它使用IFC4接口,适用于IFC2x3和IFC4型号.要创建 ...
- xBIM 基础04 日志操作
系列目录 [已更新最新开发文章,点击查看详细] xBIM使用Log4Net来记录异常不适合的处理错误和警告.它在xBIM几何引擎中被大量使用来记录所有几何错误.如果您的文件看起来不太正确,则应 ...
- JavaScript / JQuery事件委托如何实现?
一:什么是事件委托? 事件委托是利用事件冒泡,只指定一个事件处理程序来管理某一类型的所有事件. 事件委托就是利用事件冒泡原理实现的! 事件冒泡:就是事件从最深节点开始,然后逐步向上传播事件: 例:页面 ...
- Andoid CustomCircleProgress 半圆
package com.play.playgame.view; import android.content.Context; import android.graphics.Canvas; impo ...
- js 40 个技巧
1. oncontextmenu="window.event.returnValue=false" 将彻底屏蔽鼠标右键<table border oncontextmenu= ...
- POJ 2155 Matrix【 二维树状数组 】
题意:给出两种操作,C是给出一个矩形的左上角和左下角的下标,把这个矩形里面的0变成1,1变成0,Q是询问某个点的值 看这篇论文讲得很清楚 http://wenku.baidu.com/view/1e5 ...
- pthread_cleanup_push
#define pthread_cleanup_push(func, val) \ { \ struct __darwin_pthread_handler_rec __handler; \ pthre ...
- js 将数组中的每一项安装奇偶重新组合成一个数组对象
<!DOCTYPE html> <html> <head> <meta charset="UTF-8"> <title> ...
- HDU-1358 Period 字符串问题 KMP算法 求最小循环节
题目链接:https://cn.vjudge.net/problem/HDU-1358 题意 给一个字符串,对下标大于2的元素,问有几个最小循环节 思路 对每个元素求一下minloop,模一下就好 提 ...
- Ubuntu 16.04 Chrome浏览器安装flash player插件
1:官网下载插件 flash palyer lash_player_npapi_linux_debug.x86_64.tar.gz 2:解压 提取 libpepflashplayer.so 3:手动 ...