function sign (val, secret) {
return val + '.' + hmac(val, secret);
}這里的 secret 哪來的呢?是 cookie-parser 初始化的時候傳入的。如下偽代碼所示:
var cookieParser = function (secret) {
return function (req, res, next) {
req.secret = secret;
// ...
next();
};
};
app.use(cookieParser('secret'));簽名cookie解析
知道了cookie簽名的機制后,如何"解析"簽名cookie就很清楚了。這個階段,中間件主要做了兩件事:
將簽名cookie對應的原始值提取出來
驗證簽名cookie是否合法
實現代碼如下:
// str:簽名后的cookie,比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
// secret:秘鑰,比如 "secret"
function signedCookie(str, secret) {
// 檢查是否 s: 開頭,確保只對簽過名的cookie進行解析
if (str.substr(0, 2) !== 's:') {
return str;
}
// 校驗簽名的值是否合法,如合法,返回true,否則,返回false
var val = unsign(str.slice(2), secret);
if (val !== false) {
return val;
}
return false;
}判斷、提取cookie原始值比較簡單。只是是 unsign 方法名比較有迷惑性。
一般只會對簽名進行合法校驗,并沒有所謂的反簽名。
unsign 方法的代碼如下:
首先,從傳入的cookie值中,分別提取出原始值A1、簽名值B1。
其次,用同樣的秘鑰對A1進行簽名,得到A2。
最后,根據A2、B1是否相等,判斷簽名是否合法。
exports.unsign = function(val, secret){
var str = val.slice(0, val.lastIndexOf('.'))
, mac = exports.sign(str, secret);
return sha1(mac) == sha1(val) ? str : false;
};主要是出于安全考慮, 防止cookie被篡改 ,增強安全性。
舉個小例子來看下cookie簽名是如何實現防篡改的。
基于前面的例子展開。假設網站通過 nick 這個cookie來區分當前登錄的用戶是誰。在前面例子中,登錄用戶的cookie中,nick對應的值如下:(decode后的)
s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
此時,有人試圖修改這個cookie值,來達到偽造身份的目的。比如修改成 xiaoming :
s:xiaoming.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
當網站收到請求,對簽名cookie進行解析,發現簽名驗證不通過。由此可判斷,cookie是偽造的。
hmac("xiaoming", "secret") !== "uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
當然不是。
上個小節的例子,僅通過 nick 這個cookie的值來判斷登錄的是哪個用戶,這是一個非常糟糕的設計。雖然在秘鑰未知的情況下,很難偽造簽名cookie。但用戶名相同的情況下,簽名也是相同的。這種情況下,其實是很容易偽造的。
另外,開源組件的算法是公開的,因此秘鑰的安全性就成了關鍵,要確保秘鑰不泄露。
還有很多,這里不展開。
本文主要對 Express + cookie-parser 的簽名和解析機制進行相對深入的介紹。
不少類似的總結文章中,把cookie的簽名說成了加密,這是一個常見的錯誤,讀者朋友需要注意一下。
簽名部分的介紹,稍微涉及一些簡單的安全知識,對這塊不熟悉的同學可以留言交流。為講解方便,部分段落、用詞可能不夠嚴謹。如有錯漏,敬請指出。
聲明:本網頁內容旨在傳播知識,若有侵權等問題請及時與本網聯系,我們將在第一時間刪除處理。TEL:177 7030 7066 E-MAIL:11247931@qq.com
Copyright ? 2019-2025 www.polareal.com 版權所有
違法及侵權請聯系:TEL:177 7030 7066 E-MAIL:11247931@qq.com 本站由北京市萬商天勤律師事務所王興未律師提供法律服務
