Expresscookie-parser中間件的示例分析-創(chuàng)新互聯(lián)

這篇文章給大家分享的是有關(guān)Express cookie-parser中間件的示例分析的內(nèi)容。小編覺(jué)得挺實(shí)用的，因此分享給大家做個(gè)參考，一起跟隨小編過(guò)來(lái)看看吧。

成都一家集口碑和實(shí)力的網(wǎng)站建設(shè)服務(wù)商，擁有專(zhuān)業(yè)的企業(yè)建站團(tuán)隊(duì)和靠譜的建站技術(shù)，十多年企業(yè)及個(gè)人網(wǎng)站建設(shè)經(jīng)驗(yàn) ,為成都上千家客戶(hù)提供網(wǎng)頁(yè)設(shè)計(jì)制作,網(wǎng)站開(kāi)發(fā),企業(yè)網(wǎng)站制作建設(shè)等服務(wù),包括成都營(yíng)銷(xiāo)型網(wǎng)站建設(shè)，品牌網(wǎng)站設(shè)計(jì)，同時(shí)也為不同行業(yè)的客戶(hù)提供成都網(wǎng)站建設(shè)、網(wǎng)站制作的服務(wù),包括成都電商型網(wǎng)站制作建設(shè),裝修行業(yè)網(wǎng)站制作建設(shè)，傳統(tǒng)機(jī)械行業(yè)網(wǎng)站建設(shè),傳統(tǒng)農(nóng)業(yè)行業(yè)網(wǎng)站制作建設(shè)。在成都做網(wǎng)站,選網(wǎng)站制作建設(shè)服務(wù)商就選創(chuàng)新互聯(lián)建站。

入門(mén)例子：cookie設(shè)置與解析

先從最簡(jiǎn)單的例子來(lái)看下 cookie-parser 的使用，這里采用默認(rèn)配置。

1. cookie設(shè)置：使用 Express 的內(nèi)置方法 res.cookie() 。

2. cookie解析：使用 cookie-parser 中間件。

var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
app.use(cookieParser());
app.use(function (req, res, next) {
 console.log(req.cookies.nick); // 第二次訪(fǎng)問(wèn)，輸出chyingp
 next();
});

app.use(function (req, res, next) { 
 res.cookie('nick', 'chyingp');
 res.end('ok');
});
app.listen(3000);

在當(dāng)前場(chǎng)景下， cookie-parser 中間件大致實(shí)現(xiàn)如下：

app.use(function (req, res, next) {
 req.cookies = cookie.parse(req.headers.cookie);
 next();
});

進(jìn)階例子：cookie簽名與解析

出于安全的考慮，我們通常需要對(duì)cookie進(jìn)行簽名。

例子改寫(xiě)如下，有幾個(gè)注意點(diǎn)：

1. cookieParser 初始化時(shí)，傳入 secret 作為簽名的秘鑰。

2. 設(shè)置cookie時(shí)，將 signed 設(shè)置為 true ，表示對(duì)即將設(shè)置的cookie進(jìn)行簽名。

3. 獲取cookie時(shí)，可以通過(guò) req.cookies ，也可以通過(guò) req.signedCookies 獲取。

var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 初始化中間件，傳入的第一個(gè)參數(shù)為singed secret
app.use(cookieParser('secret'));
app.use(function (req, res, next) {
 console.log(req.cookies.nick); // chyingp
 console.log(req.signedCookies.nick); // chyingp
 next();
});
app.use(function (req, res, next) { 
 // 傳入第三個(gè)參數(shù) {signed: true}，表示要對(duì)cookie進(jìn)行摘要計(jì)算
 res.cookie('nick', 'chyingp', {signed: true});
 res.end('ok');
});
app.listen(3000);

簽名前的cookie值為 chyingp ，簽名后的cookie值為 s%3Achyingp.uVofnk6k%2B9mHQpdPlQeOfjM8B5oa6mppny9d%2BmG9rD0 ，decode后為 s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0 。

下面就來(lái)分析下，cookie的簽名、解析是如何實(shí)現(xiàn)的。

cookie簽名、驗(yàn)證實(shí)現(xiàn)剖析

Express完成cookie值的簽名， cookie-parser 實(shí)現(xiàn)簽名cookie的解析。兩者共用同一個(gè)秘鑰。

cookie簽名

Express對(duì)cookie的設(shè)置（包括簽名），都是通過(guò) res.cookie() 這個(gè)方法實(shí)現(xiàn)的。

精簡(jiǎn)后的代碼如下：

res.cookie = function (name, value, options) { 
 var secret = this.req.secret;
 var signed = opts.signed;
 // 如果 options.signed 為true，則對(duì)cookie進(jìn)行簽名
 if (signed) {
  val = 's:' + sign(val, secret);
 }
 this.append('Set-Cookie', cookie.serialize(name, String(val), opts));
 return this;
};

sign 為簽名函數(shù)。偽代碼如下，其實(shí)就是把cookie的原始值，跟hmac后的值拼接起來(lái)。

敲黑板劃重點(diǎn)：簽名后的cookie值，包含了原始值。

function sign (val, secret) {
 return val + '.' + hmac(val, secret);
}

這里的 secret 哪來(lái)的呢？是 cookie-parser 初始化的時(shí)候傳入的。如下偽代碼所示：

var cookieParser = function (secret) {
 return function (req, res, next) {
  req.secret = secret;
  // ...
  next();
 };
};
app.use(cookieParser('secret'));

簽名cookie解析

知道了cookie簽名的機(jī)制后，如何"解析"簽名cookie就很清楚了。這個(gè)階段，中間件主要做了兩件事：

1. 將簽名cookie對(duì)應(yīng)的原始值提取出來(lái)

2. 驗(yàn)證簽名cookie是否合法

實(shí)現(xiàn)代碼如下：

// str：簽名后的cookie，比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
// secret：秘鑰，比如 "secret"
function signedCookie(str, secret) {

 // 檢查是否 s: 開(kāi)頭，確保只對(duì)簽過(guò)名的cookie進(jìn)行解析
 if (str.substr(0, 2) !== 's:') {
  return str;
 }

 // 校驗(yàn)簽名的值是否合法，如合法，返回true，否則，返回false
 var val = unsign(str.slice(2), secret);
 
 if (val !== false) {
  return val;
 }

 return false;
}

判斷、提取cookie原始值比較簡(jiǎn)單。只是是 unsign 方法名比較有迷惑性。

一般只會(huì)對(duì)簽名進(jìn)行合法校驗(yàn)，并沒(méi)有所謂的反簽名。

unsign 方法的代碼如下：

1. 首先，從傳入的cookie值中，分別提取出原始值A(chǔ)1、簽名值B1。

2. 其次，用同樣的秘鑰對(duì)A1進(jìn)行簽名，得到A2。

3. 最后，根據(jù)A2、B1是否相等，判斷簽名是否合法。

exports.unsign = function(val, secret){

 var str = val.slice(0, val.lastIndexOf('.'))
  , mac = exports.sign(str, secret);
 
 return sha1(mac) == sha1(val) ? str : false;
};

cookie簽名的作用

主要是出于安全考慮， 防止cookie被篡改 ，增強(qiáng)安全性。

舉個(gè)小例子來(lái)看下cookie簽名是如何實(shí)現(xiàn)防篡改的。

基于前面的例子展開(kāi)。假設(shè)網(wǎng)站通過(guò) nick 這個(gè)cookie來(lái)區(qū)分當(dāng)前登錄的用戶(hù)是誰(shuí)。在前面例子中，登錄用戶(hù)的cookie中，nick對(duì)應(yīng)的值如下：(decode后的)

s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0

此時(shí)，有人試圖修改這個(gè)cookie值，來(lái)達(dá)到偽造身份的目的。比如修改成 xiaoming ：

s:xiaoming.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0

當(dāng)網(wǎng)站收到請(qǐng)求，對(duì)簽名cookie進(jìn)行解析，發(fā)現(xiàn)簽名驗(yàn)證不通過(guò)。由此可判斷，cookie是偽造的。

hmac("xiaoming", "secret") !== "uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"

簽名就一定能夠確保安全嗎

當(dāng)然不是。

上個(gè)小節(jié)的例子，僅通過(guò) nick 這個(gè)cookie的值來(lái)判斷登錄的是哪個(gè)用戶(hù)，這是一個(gè)非常糟糕的設(shè)計(jì)。雖然在秘鑰未知的情況下，很難偽造簽名cookie。但用戶(hù)名相同的情況下，簽名也是相同的。這種情況下，其實(shí)是很容易偽造的。

另外，開(kāi)源組件的算法是公開(kāi)的，因此秘鑰的安全性就成了關(guān)鍵，要確保秘鑰不泄露。

還有很多，這里不展開(kāi)。

感謝各位的閱讀！關(guān)于“Express cookie-parser中間件的示例分析”這篇文章就分享到這里了，希望以上內(nèi)容可以對(duì)大家有一定的幫助，讓大家可以學(xué)到更多知識(shí)，如果覺(jué)得文章不錯(cuò)，可以把它分享出去讓更多的人看到吧！

另外有需要云服務(wù)器可以了解下創(chuàng)新互聯(lián)scvps.cn，海內(nèi)外云服務(wù)器15元起步，三天無(wú)理由+7*72小時(shí)售后在線(xiàn)，公司持有idc許可證，提供“云服務(wù)器、裸金屬服務(wù)器、高防服務(wù)器、香港服務(wù)器、美國(guó)服務(wù)器、虛擬主機(jī)、免備案服務(wù)器”等云主機(jī)租用服務(wù)以及企業(yè)上云的綜合解決方案，具有“安全穩(wěn)定、簡(jiǎn)單易用、服務(wù)可用性高、性?xún)r(jià)比高”等特點(diǎn)與優(yōu)勢(shì)，專(zhuān)為企業(yè)上云打造定制，能夠滿(mǎn)足用戶(hù)豐富、多元化的應(yīng)用場(chǎng)景需求。

網(wǎng)站標(biāo)題：Expresscookie-parser中間件的示例分析-創(chuàng)新互聯(lián)
標(biāo)題鏈接：http://bm7419.com/article36/gojsg.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供定制網(wǎng)站、服務(wù)器托管、靜態(tài)網(wǎng)站、品牌網(wǎng)站建設(shè)、響應(yīng)式網(wǎng)站、網(wǎng)站建設(shè)

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶(hù)投稿、用戶(hù)轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請(qǐng)盡快告知，我們將會(huì)在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng)，如需處理請(qǐng)聯(lián)系客服。電話(huà)：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來(lái)源： 創(chuàng)新互聯(lián)