深入剖析Express cookie-parser中间件实现示例


Posted in Javascript onFebruary 01, 2018

文章导读

cookie-parser 是Express的中间件,用来实现cookie的解析,是官方脚手架内置的中间件之一。

它的使用非常简单,但在使用过程中偶尔也会遇到问题。一般都是因为对 Express + cookie-parser 的签名、验证机制不了解导致的。

本文深入讲解 Express + cookie-parser 的签名和验证的实现机制,以及cookie签名是如何增强网站的安全性的。

文本同步收录于GitHub主题系列 《Nodejs学习笔记》

入门例子:cookie设置与解析

先从最简单的例子来看下 cookie-parser 的使用,这里采用默认配置。

  1. cookie设置:使用 Express 的内置方法 res.cookie() 。
  2. cookie解析:使用 cookie-parser 中间件。
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
app.use(cookieParser());
app.use(function (req, res, next) {
 console.log(req.cookies.nick); // 第二次访问,输出chyingp
 next();
});

app.use(function (req, res, next) { 
 res.cookie('nick', 'chyingp');
 res.end('ok');
});
app.listen(3000);

在当前场景下, cookie-parser 中间件大致实现如下:

app.use(function (req, res, next) {
 req.cookies = cookie.parse(req.headers.cookie);
 next();
});

进阶例子:cookie签名与解析

出于安全的考虑,我们通常需要对cookie进行签名。

例子改写如下,有几个注意点:

  1. cookieParser 初始化时,传入 secret 作为签名的秘钥。
  2. 设置cookie时,将 signed 设置为 true ,表示对即将设置的cookie进行签名。
  3. 获取cookie时,可以通过 req.cookies ,也可以通过 req.signedCookies 获取。
var express = require('express');
var cookieParser = require('cookie-parser');
var app = express();
// 初始化中间件,传入的第一个参数为singed secret
app.use(cookieParser('secret'));
app.use(function (req, res, next) {
 console.log(req.cookies.nick); // chyingp
 console.log(req.signedCookies.nick); // chyingp
 next();
});
app.use(function (req, res, next) { 
 // 传入第三个参数 {signed: true},表示要对cookie进行摘要计算
 res.cookie('nick', 'chyingp', {signed: true});
 res.end('ok');
});
app.listen(3000);

签名前的cookie值为 chyingp ,签名后的cookie值为 s%3Achyingp.uVofnk6k%2B9mHQpdPlQeOfjM8B5oa6mppny9d%2BmG9rD0 ,decode后为 s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0

下面就来分析下,cookie的签名、解析是如何实现的。

cookie签名、验证实现剖析

Express完成cookie值的签名, cookie-parser 实现签名cookie的解析。两者共用同一个秘钥。

cookie签名

Express对cookie的设置(包括签名),都是通过 res.cookie() 这个方法实现的。

精简后的代码如下:

res.cookie = function (name, value, options) { 
 var secret = this.req.secret;
 var signed = opts.signed;
 // 如果 options.signed 为true,则对cookie进行签名
 if (signed) {
  val = 's:' + sign(val, secret);
 }
 this.append('Set-Cookie', cookie.serialize(name, String(val), opts));
 return this;
};

sign 为签名函数。伪代码如下,其实就是把cookie的原始值,跟hmac后的值拼接起来。

敲黑板划重点:签名后的cookie值,包含了原始值。

function sign (val, secret) {
 return val + '.' + hmac(val, secret);
}

这里的 secret 哪来的呢?是 cookie-parser 初始化的时候传入的。如下伪代码所示:

var cookieParser = function (secret) {
 return function (req, res, next) {
  req.secret = secret;
  // ...
  next();
 };
};
app.use(cookieParser('secret'));

签名cookie解析

知道了cookie签名的机制后,如何"解析"签名cookie就很清楚了。这个阶段,中间件主要做了两件事:

  1. 将签名cookie对应的原始值提取出来
  2. 验证签名cookie是否合法

实现代码如下:

// str:签名后的cookie,比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
// secret:秘钥,比如 "secret"
function signedCookie(str, secret) {

 // 检查是否 s: 开头,确保只对签过名的cookie进行解析
 if (str.substr(0, 2) !== 's:') {
  return str;
 }

 // 校验签名的值是否合法,如合法,返回true,否则,返回false
 var val = unsign(str.slice(2), secret);
 
 if (val !== false) {
  return val;
 }

 return false;
}

判断、提取cookie原始值比较简单。只是是 unsign 方法名比较有迷惑性。

一般只会对签名进行合法校验,并没有所谓的反签名。

unsign 方法的代码如下:

  1. 首先,从传入的cookie值中,分别提取出原始值A1、签名值B1。
  2. 其次,用同样的秘钥对A1进行签名,得到A2。
  3. 最后,根据A2、B1是否相等,判断签名是否合法。

exports.unsign = function(val, secret){

var str = val.slice(0, val.lastIndexOf('.'))
  , mac = exports.sign(str, secret);
 
 return sha1(mac) == sha1(val) ? str : false;
};

cookie签名的作用

主要是出于安全考虑, 防止cookie被篡改 ,增强安全性。

举个小例子来看下cookie签名是如何实现防篡改的。

基于前面的例子展开。假设网站通过 nick 这个cookie来区分当前登录的用户是谁。在前面例子中,登录用户的cookie中,nick对应的值如下:(decode后的)

s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0

此时,有人试图修改这个cookie值,来达到伪造身份的目的。比如修改成 xiaoming :

s:xiaoming.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0

当网站收到请求,对签名cookie进行解析,发现签名验证不通过。由此可判断,cookie是伪造的。

hmac("xiaoming", "secret") !== "uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"

签名就一定能够确保安全吗

当然不是。

上个小节的例子,仅通过 nick 这个cookie的值来判断登录的是哪个用户,这是一个非常糟糕的设计。虽然在秘钥未知的情况下,很难伪造签名cookie。但用户名相同的情况下,签名也是相同的。这种情况下,其实是很容易伪造的。

另外,开源组件的算法是公开的,因此秘钥的安全性就成了关键,要确保秘钥不泄露。

还有很多,这里不展开。

小结

本文主要对 Express + cookie-parser 的签名和解析机制进行相对深入的介绍。

不少类似的总结文章中,把cookie的签名说成了加密,这是一个常见的错误,读者朋友需要注意一下。

签名部分的介绍,稍微涉及一些简单的安全知识,对这块不熟悉的同学可以留言交流。为讲解方便,部分段落、用词可能不够严谨。如有错漏,敬请指出。

相关链接

https://github.com/expressjs/cookie-parser

https://github.com/chyingp/nodejs-learning-guide

以上就是本文的全部内容,希望对大家的学习有所帮助,也希望大家多多支持三水点靠木。

Javascript 相关文章推荐
javascript setinterval 的正确语法如何书写
Jun 17 Javascript
jquery实现可拖拽弹出层特效
Jan 04 Javascript
JQuery的ON()方法支持的所有事件罗列
Feb 28 Javascript
JavaScript控制网页平滑滚动到指定元素位置的方法
Apr 17 Javascript
AngularJs定制样式插入到ueditor中的问题小结
Aug 01 Javascript
jQuery操作dom实现弹出页面遮罩层(web端和移动端阻止遮罩层的滑动)
Aug 25 Javascript
vue.js评论发布信息可插入QQ表情功能
Aug 08 Javascript
[js高手之路]HTML标签解释成DOM节点的实现方法
Aug 31 Javascript
详谈构造函数加括号与不加括号的区别
Oct 26 Javascript
利用node.js如何创建子进程详解
Dec 09 Javascript
Vue前后端不同端口的实现方法
Sep 19 Javascript
layui动态表头的实现代码
Aug 22 Javascript
JS 实现百度搜索功能
Feb 01 #Javascript
用node-webkit把web应用打包成桌面应用(windows环境)
Feb 01 #Javascript
微信小程序日期时间选择器使用方法
Feb 01 #Javascript
NW.js 简介与使用方法
Feb 01 #Javascript
原生JS实现的多个彩色小球跟随鼠标移动动画效果示例
Feb 01 #Javascript
Vue组件之自定义事件的功能图解
Feb 01 #Javascript
微信小程序三级联动选择器使用方法
May 19 #Javascript
You might like
php下使用strpos需要注意 === 运算符
2010/07/17 PHP
常用的PHP数据库操作方法(MYSQL版)
2011/06/08 PHP
PHP中static关键字原理的学习研究分析
2011/07/18 PHP
php防止sql注入示例分析和几种常见攻击正则表达式
2014/01/12 PHP
PHP 二维array转换json的实例讲解
2018/08/21 PHP
实现JavaScript中继承的三种方式
2009/10/16 Javascript
javascript Array.sort() 跨浏览器下需要考虑的问题
2009/12/07 Javascript
js自动下载文件到本地的实现代码
2013/04/28 Javascript
jQuery prev ~ siblings选择器使用介绍
2013/08/09 Javascript
JQuery each()嵌套使用小结
2014/04/18 Javascript
jQuery日历插件datepicker用法详解
2016/03/03 Javascript
vue 使用vue-i18n做全局中英文切换的方法
2018/10/29 Javascript
JavaScript禁用右键单击优缺点分析
2019/01/20 Javascript
JavaScript 格式化数字、金额、千分位、保留几位小数、舍入舍去
2019/07/23 Javascript
关于vue里页面的缓存详解
2019/11/04 Javascript
vue移动端下拉刷新和上滑加载
2020/10/27 Javascript
Python编写电话薄实现增删改查功能
2016/05/07 Python
Python判断某个用户对某个文件的权限
2016/10/13 Python
Python编程实现二叉树及七种遍历方法详解
2017/06/02 Python
浅谈python日志的配置文件路径问题
2018/04/28 Python
Django使用Mysql数据库已经存在的数据表方法
2018/05/27 Python
在Python中字典根据多项规则排序的方法
2019/01/21 Python
python实现点击按钮修改数据的方法
2019/07/17 Python
python:按行读入,排序然后输出的方法
2019/07/20 Python
tensorflow 分类损失函数使用小记
2020/02/18 Python
matplotlib基础绘图命令之imshow的使用
2020/08/13 Python
python源文件的字符编码知识点详解
2021/03/04 Python
一文彻底解决HTML5页面中长按保存图片功能
2019/06/10 HTML / CSS
美国蔬菜和植物种子公司:Burpee
2017/02/01 全球购物
Myprotein意大利官网:欧洲第一运动营养品牌
2018/11/22 全球购物
大学本科毕业生求职简历的自我评价
2013/10/09 职场文书
企业精细化管理实施方案
2014/03/23 职场文书
小学生读书活动总结
2014/06/30 职场文书
部门2014年度工作总结
2014/11/12 职场文书
2014年销售部工作总结
2014/12/01 职场文书
Java Shutdown Hook场景使用及源码分析
2021/06/15 Java/Android