Maîtrise complète du middleware Express cookie-parser

Cookie-parser est le middleware d'Express, qui est utilisé pour analyser les cookies. Il s'agit de l'un des middleware intégrés à l'échafaudage officiel. Son utilisation est très simple, mais vous pouvez parfois rencontrer des problèmes lors de son utilisation. Cela est généralement dû à un manque de compréhension des mécanismes de signature et de vérification d'Express + cookie-parser. Cet article vous présente principalement l'exemple d'implémentation du middleware Express cookie-analyser. L'éditeur pense qu'il est assez bon, je vais donc le partager avec vous maintenant et le donner comme référence. Suivons l'éditeur pour y jeter un œil, j'espère que cela pourra aider tout le monde.

Exemple de démarrage : paramètres et analyse des cookies

Commençons par l'exemple le plus simple pour examiner l'utilisation de l'analyseur de cookies. La configuration par défaut est utilisée ici.

1. Paramètres des cookies : utilisez la méthode intégrée res.cookie() d'Express.

2. Analyse des cookies : utilisez le middleware d'analyse des cookies.

var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
app.use(cookieParser());
app.use(function (req, res, next) {
 console.log(req.cookies.nick); // 第二次访问，输出chyingp
 next();
});

app.use(function (req, res, next) { 
 res.cookie('nick', 'chyingp');
 res.end('ok');
});
app.listen(3000);

Dans le scénario actuel, le middleware d'analyseur de cookies est grossièrement implémenté comme suit :

app.use(function (req, res, next) {
 req.cookies = cookie.parse(req.headers.cookie);
 next();
});

Exemple avancé : signature et analyse des cookies

Pour des raisons de sécurité, nous devons généralement signer les cookies.

L'exemple est réécrit comme suit, avec quelques points à noter :

1. Lorsque cookieParser est initialisé, passer en secret comme clé de signature.

2. Lors de la définition d'un cookie, définissez signé sur true pour signer le cookie qui est sur le point d'être défini.

3. Lors de l'obtention de cookies, vous pouvez les obtenir via req.cookies ou req.signedCookies.

var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 初始化中间件，传入的第一个参数为singed secret
app.use(cookieParser('secret'));
app.use(function (req, res, next) {
 console.log(req.cookies.nick); // chyingp
 console.log(req.signedCookies.nick); // chyingp
 next();
});
app.use(function (req, res, next) { 
 // 传入第三个参数 {signed: true}，表示要对cookie进行摘要计算
 res.cookie('nick', 'chyingp', {signed: true});
 res.end('ok');
});
app.listen(3000);

La valeur du cookie avant la signature est chyingp, la valeur du cookie après la signature est s%3Achyingp.uVofnk6k%2B9mHQpdPlQeOfjM8B5oa6mppny9d%2BmG9rD0, et après décodage, elle est s:chyingp.uVofnk6k+ 9mHQpdPlQe OfjM8B5oa6mppny9d+ mG9rD0.

Analysons comment la signature et l'analyse des cookies sont mises en œuvre.

Analyse de la signature des cookies et mise en œuvre de la vérification

Express complète la signature des valeurs des cookies et cookie-parser implémente l'analyse des cookies signés. Les deux partagent la même clé secrète.

Signature des cookies

Les paramètres des cookies d'Express (y compris les signatures) sont tous implémentés via la méthode res.cookie().

Le code simplifié est le suivant :

res.cookie = function (name, value, options) { 
 var secret = this.req.secret;
 var signed = opts.signed;
 // 如果 options.signed 为true，则对cookie进行签名
 if (signed) {
  val = 's:' + sign(val, secret);
 }
 this.append('Set-Cookie', cookie.serialize(name, String(val), opts));
 return this;
};

sign est la fonction signature. Le pseudo-code est le suivant, qui concatène en fait la valeur d'origine du cookie avec la valeur après hmac.

Point important au tableau : la valeur du cookie signé inclut la valeur d'origine.

function sign (val, secret) {
 return val + '.' + hmac(val, secret);
}

D'où vient le secret ici ? Il est transmis lorsque l'analyseur de cookies est initialisé. Comme le montre le pseudo-code suivant :

var cookieParser = function (secret) {
 return function (req, res, next) {
  req.secret = secret;
  // ...
  next();
 };
};
app.use(cookieParser('secret'));

Analyse des cookies signés

Après avoir connu le mécanisme de signature des cookies, il est clair comment "analyser" le cookie signé. A ce stade, le middleware fait principalement deux choses :

1. Extraire la valeur d'origine correspondant au cookie signé

2. Vérifier si le cookie signé est légal

Le code d'implémentation est le suivant :

// str：签名后的cookie，比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
// secret：秘钥，比如 "secret"
function signedCookie(str, secret) {

 // 检查是否 s: 开头，确保只对签过名的cookie进行解析
 if (str.substr(0, 2) !== 's:') {
  return str;
 }

 // 校验签名的值是否合法，如合法，返回true，否则，返回false
 var val = unsign(str.slice(2), secret);
 
 if (val !== false) {
  return val;
 }

 return false;
}

Il est relativement simple de juger et d'extraire la valeur d'origine du cookie. C’est juste que le nom de la méthode unsign prête à confusion.

Généralement, seules les signatures seront légalement vérifiées, et il n'y a pas de soi-disant contre-signature.

Le code de la méthode de désignation est le suivant :

1. Tout d'abord, extrayez la valeur d'origine A1 et la valeur de signature B1 de la valeur du cookie entrant.

2. Deuxièmement, utilisez la même clé secrète pour signer A1 afin d'obtenir A2.

3. Enfin, déterminez si la signature est légale en fonction du fait que A2 et B1 sont égaux.

exports.unsign = function(val, secret){

 var str = val.slice(0, val.lastIndexOf('.'))
  , mac = exports.sign(str, secret);
 
 return sha1(mac) == sha1(val) ? str : false;
};

Le rôle de la signature des cookies

est principalement pour des raisons de sécurité d'empêcher Les cookies ont été falsifiés pour renforcer la sécurité.

Prenons un petit exemple pour voir comment la signature des cookies peut empêcher la falsification.

Développez en fonction de l'exemple précédent. Supposons que le site Web utilise le cookie pseudo pour distinguer qui est l'utilisateur actuellement connecté. Dans l'exemple précédent, dans le cookie de l'utilisateur connecté, la valeur correspondante de nick est la suivante : (après décodage)

s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0

À ce moment-là, quelqu'un essaie de modifier la valeur de ce cookie pour atteindre l'objectif de forger une identité. Par exemple, remplacez-le par xiaoming :

s:xiaoming.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0

Lorsque le site Web reçoit la demande, il analyse le cookie de signature et constate que la vérification de la signature échoue. On peut en déduire que le cookie est falsifié.

hmac("xiaoming", "secret") !== "uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"

Les signatures garantiront-elles la sécurité ?

Bien sûr que non.

L'exemple de la section précédente utilise uniquement la valeur du cookie pseudo pour déterminer quel utilisateur est connecté. C'est une très mauvaise conception. Bien qu’il soit difficile de falsifier des cookies signés lorsque la clé secrète est inconnue. Mais lorsque le nom d’utilisateur est le même, la signature est également la même. Dans ce cas, il est en réalité très facile à falsifier.

De plus, les algorithmes des composants open source sont publics, donc la sécurité de la clé secrète devient la clé, et il faut s'assurer que la clé secrète ne soit pas divulguée.

Il y en a bien d’autres, je ne les détaillerai donc pas ici.

Résumé

Cet article fournit principalement une introduction relativement approfondie au mécanisme de signature et d'analyse d'Express + cookie-parser.

Dans de nombreux articles de synthèse similaires, la signature du cookie est décrite comme un cryptage. Il s'agit d'une erreur courante et les lecteurs doivent y prêter attention.

L'introduction de la partie signature implique un peu de connaissances simples en matière de sécurité. Les étudiants qui ne connaissent pas ce sujet peuvent laisser un message pour communiquer. Pour faciliter l’explication, certains paragraphes et formulations peuvent ne pas être assez rigoureux. S'il y a des erreurs ou des omissions, merci de les signaler.

Recommandations associées :

node crée sa propre instance de serveur en implémentant express

Node.js utilise l'instance Express.Router Explication détaillée

Utilisation de Session dans le framework Express pour implémenter l'authentification lors de la connexion

Ce qui précède est le contenu détaillé de. pour plus d'informations, suivez d'autres articles connexes sur le site Web de PHP en chinois!