文章導讀
cookie-parser 是Express的中間件���,用來實現cookie的解析,是官方腳手架內置的中間件之一�。
它的使用非常簡單���,但在使用過程中偶爾也會遇到問題�。一般都是因為對 Express + cookie-parser 的簽名、驗證機制不了解導致的��。
本文深入講解 Express + cookie-parser 的簽名和驗證的實現機制�,以及cookie簽名是如何增強網站的安全性的。
文本同步收錄于GitHub主題系列 《Nodejs學習筆記》
入門例子:cookie設置與解析
先從最簡單的例子來看下 cookie-parser 的使用�,這里采用默認配置。
- cookie設置:使用 Express 的內置方法 res.cookie() �。
- cookie解析:使用 cookie-parser 中間件。
var express = require('express');var cookieParser = require('cookie-parser');var app = express();app.use(cookieParser());app.use(function (req, res, next) { console.log(req.cookies.nick); // 第二次訪問�����,輸出chyingp next();});app.use(function (req, res, next) { res.cookie('nick', 'chyingp'); res.end('ok');});app.listen(3000); 在當前場景下�����, cookie-parser 中間件大致實現如下:
app.use(function (req, res, next) { req.cookies = cookie.parse(req.headers.cookie); next();}); 進階例子:cookie簽名與解析
出于安全的考慮����,我們通常需要對cookie進行簽名。
例子改寫如下�����,有幾個注意點:
- cookieParser 初始化時�,傳入 secret 作為簽名的秘鑰����。
- 設置cookie時���,將 signed 設置為 true ,表示對即將設置的cookie進行簽名�。
- 獲取cookie時,可以通過 req.cookies ��,也可以通過 req.signedCookies 獲取����。
var express = require('express');var cookieParser = require('cookie-parser');var app = express();// 初始化中間件��,傳入的第一個參數為singed secretapp.use(cookieParser('secret'));app.use(function (req, res, next) { console.log(req.cookies.nick); // chyingp console.log(req.signedCookies.nick); // chyingp next();});app.use(function (req, res, next) { // 傳入第三個參數 {signed: true}�,表示要對cookie進行摘要計算 res.cookie('nick', 'chyingp', {signed: true}); res.end('ok');});app.listen(3000); 簽名前的cookie值為 chyingp ,簽名后的cookie值為 s%3Achyingp.uVofnk6k%2B9mHQpdPlQeOfjM8B5oa6mppny9d%2BmG9rD0 ���,decode后為 s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0 �����。
下面就來分析下,cookie的簽名��、解析是如何實現的����。
cookie簽名�、驗證實現剖析
Express完成cookie值的簽名, cookie-parser 實現簽名cookie的解析����。兩者共用同一個秘鑰。
cookie簽名
Express對cookie的設置(包括簽名)�,都是通過 res.cookie() 這個方法實現的。
精簡后的代碼如下:
res.cookie = function (name, value, options) { var secret = this.req.secret; var signed = opts.signed; // 如果 options.signed 為true���,則對cookie進行簽名 if (signed) { val = 's:' + sign(val, secret); } this.append('Set-Cookie', cookie.serialize(name, String(val), opts)); return this;}; sign 為簽名函數��。偽代碼如下�,其實就是把cookie的原始值�����,跟hmac后的值拼接起來���。
敲黑板劃重點:簽名后的cookie值�����,包含了原始值�����。
function sign (val, secret) { return val + '.' + hmac(val, secret);} 這里的 secret 哪來的呢?是 cookie-parser 初始化的時候傳入的���。如下偽代碼所示:
var cookieParser = function (secret) { return function (req, res, next) { req.secret = secret; // ... next(); };};app.use(cookieParser('secret')); 簽名cookie解析
知道了cookie簽名的機制后�����,如何"解析"簽名cookie就很清楚了����。這個階段���,中間件主要做了兩件事:
- 將簽名cookie對應的原始值提取出來
- 驗證簽名cookie是否合法
實現代碼如下:
// str:簽名后的cookie��,比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"// secret:秘鑰,比如 "secret"function signedCookie(str, secret) { // 檢查是否 s: 開頭��,確保只對簽過名的cookie進行解析 if (str.substr(0, 2) !== 's:') { return str; } // 校驗簽名的值是否合法��,如合法��,返回true����,否則,返回false var val = unsign(str.slice(2), secret); if (val !== false) { return val; } return false;} 判斷�����、提取cookie原始值比較簡單����。只是是 unsign 方法名比較有迷惑性。
一般只會對簽名進行合法校驗���,并沒有所謂的反簽名�。
unsign 方法的代碼如下:
- 首先���,從傳入的cookie值中�����,分別提取出原始值A1���、簽名值B1。
- 其次���,用同樣的秘鑰對A1進行簽名�����,得到A2���。
- 最后,根據A2�����、B1是否相等�����,判斷簽名是否合法。
exports.unsign = function(val, secret){
var str = val.slice(0, val.lastIndexOf('.')) , mac = exports.sign(str, secret); return sha1(mac) == sha1(val) ? str : false;}; cookie簽名的作用
主要是出于安全考慮�, 防止cookie被篡改 ,增強安全性��。
舉個小例子來看下cookie簽名是如何實現防篡改的�。
基于前面的例子展開����。假設網站通過 nick 這個cookie來區分當前登錄的用戶是誰。在前面例子中�,登錄用戶的cookie中���,nick對應的值如下:(decode后的)
s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
此時����,有人試圖修改這個cookie值�,來達到偽造身份的目的。比如修改成 xiaoming :
s:xiaoming.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
當網站收到請求��,對簽名cookie進行解析����,發現簽名驗證不通過。由此可判斷,cookie是偽造的�����。
hmac("xiaoming", "secret") !== "uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
簽名就一定能夠確保安全嗎
當然不是��。
上個小節的例子����,僅通過 nick 這個cookie的值來判斷登錄的是哪個用戶����,這是一個非常糟糕的設計。雖然在秘鑰未知的情況下�,很難偽造簽名cookie。但用戶名相同的情況下���,簽名也是相同的�����。這種情況下���,其實是很容易偽造的。
另外��,開源組件的算法是公開的����,因此秘鑰的安全性就成了關鍵,要確保秘鑰不泄露���。
還有很多,這里不展開�。
小結
本文主要對 Express + cookie-parser 的簽名和解析機制進行相對深入的介紹。
不少類似的總結文章中���,把cookie的簽名說成了加密����,這是一個常見的錯誤���,讀者朋友需要注意一下�。
簽名部分的介紹���,稍微涉及一些簡單的安全知識�,對這塊不熟悉的同學可以留言交流���。為講解方便�����,部分段落�、用詞可能不夠嚴謹��。如有錯漏�,敬請指出。
相關鏈接
https://github.com/expressjs/cookie-parser
https://github.com/chyingp/nodejs-learning-guide
以上就是本文的全部內容��,希望對大家的學習有所幫助���,也希望大家多多支持VeVb武林網。
注:相關教程知識閱讀請移步到JavaScript/Ajax教程頻道���。
