cookie-parser 是Express的中間件,用來實現cookie的解析,是官方鷹架內建的中間件之一。它的使用非常簡單,但在使用過程中偶爾也會遇到問題。一般都是因為對 Express + cookie-parser 的簽名、驗證機制不了解所導致的。本文主要跟大家介紹Express cookie-parser中間件實作範例,小編覺得蠻不錯的,現在分享給大家,也給大家做個參考。一起跟著小編過來看看吧,希望能幫助大家。
先從最簡單的例子來看下 cookie-parser 的使用,這裡採用預設設定。
cookie設定:使用 Express 的內建方法 res.cookie() 。
cookie解析:使用 cookie-parser 中介軟體。
var express = require('express'); var cookieParser = require('cookie-parser'); var app = express(); app.use(cookieParser()); app.use(function (req, res, next) { console.log(req.cookies.nick); // 第二次访问,输出chyingp next(); }); app.use(function (req, res, next) { res.cookie('nick', 'chyingp'); res.end('ok'); }); app.listen(3000);
在目前場景下, cookie-parser 中間件大致實作如下:
app.use(function (req, res, next) { req.cookies = cookie.parse(req.headers.cookie); next(); });
出於安全的考慮,我們通常需要對cookie進行簽名。
範例改寫如下,有幾個注意點:
cookieParser 初始化時,傳入 secret 作為簽章的秘鑰。
設定cookie時,將 signed 設為 true ,表示即將設定的cookie進行簽署。
取得cookie時,可以透過 req.cookies ,也可以透過 req.signedCookies 取得。
var express = require('express'); var cookieParser = require('cookie-parser'); var app = express(); // 初始化中间件,传入的第一个参数为singed secret app.use(cookieParser('secret')); app.use(function (req, res, next) { console.log(req.cookies.nick); // chyingp console.log(req.signedCookies.nick); // chyingp next(); }); app.use(function (req, res, next) { // 传入第三个参数 {signed: true},表示要对cookie进行摘要计算 res.cookie('nick', 'chyingp', {signed: true}); res.end('ok'); }); app.listen(3000);
簽章前的cookie值為 chyingp ,簽章後的cookie值為 s%3Achyingp.uVofnk6k%2B9mHQpdPlQeOfjM8B5oa6mppny9d%2BmG9rD0 98m. mppny9d+mG9rD0 。
下面就來分析下,cookie的簽章、解析是如何實現的。
Express完成cookie值的簽名, cookie-parser 實作簽章cookie的解析。兩者共用同一個秘鑰。
cookie簽章
Express對cookie的設定(包含簽章),都是透過 res.cookie() 這個方法實現的。
精簡後的程式碼如下:
res.cookie = function (name, value, options) { var secret = this.req.secret; var signed = opts.signed; // 如果 options.signed 为true,则对cookie进行签名 if (signed) { val = 's:' + sign(val, secret); } this.append('Set-Cookie', cookie.serialize(name, String(val), opts)); return this; };
sign 為簽章函數。偽代碼如下,其實就是把cookie的原始值,跟hmac後的值拼接起來。
敲黑板劃重點:簽章後的cookie值,包含了原始值。
function sign (val, secret) { return val + '.' + hmac(val, secret); }
這裡的 secret 哪來的呢?是 cookie-parser 初始化的時候傳入的。如下偽代碼所示:
var cookieParser = function (secret) { return function (req, res, next) { req.secret = secret; // ... next(); }; }; app.use(cookieParser('secret'));
簽名cookie解析
知道了cookie簽章的機制後,如何"解析"簽章cookie就很清楚了。這個階段,中間件主要做了兩件事:
將簽章cookie對應的原始值提取出來
驗證簽章cookie是否合法
實作程式碼如下:
// str:签名后的cookie,比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0" // secret:秘钥,比如 "secret" function signedCookie(str, secret) { // 检查是否 s: 开头,确保只对签过名的cookie进行解析 if (str.substr(0, 2) !== 's:') { return str; } // 校验签名的值是否合法,如合法,返回true,否则,返回false var val = unsign(str.slice(2), secret); if (val !== false) { return val; } return false; }
判斷、提取cookie原始值比較簡單。只是是 unsign 方法名稱比較有迷惑性。
一般只會對簽名進行合法校驗,並沒有所謂的反簽名。
unsign 方法的程式碼如下:
首先,從傳入的cookie值中,分別擷取原始值A1、簽章值B1。
其次,用同樣的秘鑰對A1進行簽名,得到A2。
最後,根據A2、B1是否相等,判斷簽章是否合法。
exports.unsign = function(val, secret){
var str = val.slice(0, val.lastIndexOf('.')) , mac = exports.sign(str, secret); return sha1(mac) == sha1(val) ? str : false; };
主要是出於安全考慮, 防止cookie被篡改,增強安全性。
舉個小例子來看下cookie簽章是如何實現防篡改的。
基於前面的範例展開。假設網站透過 nick 這個cookie來區分目前登入的使用者是誰。在前面範例中,登入使用者的cookie中,nick對應的值如下:(decode後的)
s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
此時,有人此時,有人有人試著修改這個cookie值,來達到偽造身分的目的。例如修改成 xiaoming :
s:xiaoming.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
#當網站收到要求,對簽章cookie進行解析,發現簽章驗證不通過。由此可判斷,cookie是偽造的。
hmac("xiaoming", "secret") !== "uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
當然不是。
上個小節的例子,僅透過 nick 這個cookie的值來判斷登入的是哪個用戶,這是一個非常糟糕的設計。雖然在秘鑰未知的情況下,很難偽造簽名cookie。但用戶名相同的情況下,簽名也是相同的。這種情況下,其實是很容易偽造的。
另外,開源元件的演算法是公開的,因此秘鑰的安全性就成了關鍵,要確保秘鑰不會洩漏。
還有很多,這裡不展開。
本文主要對 Express + cookie-parser 的簽章和解析機制進行相對深入的介紹。
不少類似的總結文章中,把cookie的簽名說成了加密,這是一個常見的錯誤,讀者朋友需要注意。
簽名部分的介紹,稍微涉及一些簡單的安全知識,對這塊不熟悉的同學可以留言交流。為講解方便,部分段落、用詞可能不夠嚴謹。如有錯漏,請指出。
相關推薦:
#以上是全面掌握Express cookie-parser中介軟體的詳細內容。更多資訊請關注PHP中文網其他相關文章!