express的cookie解析和签名源码解析

最新推荐文章于 2023-01-10 11:00:00 发布
最新推荐文章于 2023-01-10 11:00:00 发布
阅读量642 收藏
点赞数
分类专栏: javascript nodejs
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/THEANARKH/article/details/82052956
版权
nodejs 同时被 2 个专栏收录
150 篇文章 14 订阅
订阅专栏
javascript
121 篇文章 1 订阅
订阅专栏

首先,我们看一下cookie怎么使用。

var express = require('express')

var cookieParser = require('cookie-parser')

var signature = require('cookie-signature');

var app = express();

var secret = 'zym'; // 用于加密解密

// 使用签名cookie

app.use(cookieParser(secret));

app.get('/', function(req, res) {

console.log('Cookies: ', req.cookies);

console.log('signedCookies: ', req.signedCookies);

res.cookie('hello', 'world' ); // 设置常规cookie,http头表示set-cookie:hello=world

// res.cookie('hello', 'world' , {signed: true}); 签名cookie,http头表示set-cookie:hello=s%3Aworldxxxxx加密字符串

//res.cookie('hello', {name: 'world'} );// 常规cookie的json化,http头表示set-cookie:hello=j%3AJSON.stringify({name: 'world'})

//res.cookie('hello', {name: 'world'} , {signed: true});// 签名cookie的json化,http头表示set-cookie:hello=s%3Aj%3AJSON.stringify({name: 'world'})xxxxx加密字符串

res.end('......');

});

app.listen(8080);

我们从起点说起,首先,有写才能有读,我们通过res.cookie函数设置cookie,express里,cookie可以分为两种,常规的和签名的,而这两种都支持json化。常规的cookie的序列化和反序列化都是比较简单的,json也不需要讲,主要是讲一下签名cookie的过程。我们看一下express中写cookie的实现(在response.js):

var val = typeof value === 'object'

? 'j:' + JSON.stringify(value)

: String(value);



if (signed) {

val = 's:' + sign(val, secret);

}

sign的代码:

val + '.' + crypto

.createHmac('sha256', secret)

.update(val)

.digest('base64')

.replace(/\=+$/, '');

写cookie到这算是说完了。

下面开始说一下读cookie的过程。

应用程序从nodejs拿到的cookie是原生的,nodejs从http协议解析出cookie头的键和值,并没有对值进行解析。所以我们需要自己解析。express中使用cookieParser来解析,cookieParser的大致流程就是,

1 解析常规的cookie,存到req.cookie字段

2 判断是否要解析签名cookie,存到req.signedCookies字段

3 对上面的两个字段里的值反序列化处理

 

源码如下:

exports = module.exports = function cookieParser(secret, options){

return function cookieParser(req, res, next) {

// 已经解析过直接返回

if (req.cookies) return next();

// 获取nodejs层面的cookie值,形如"name1=value; name2=value2"

var cookies = req.headers.cookie;

// 保存用于加密的字符串到req,加密解密的的时候需要用到

req.secret = secret;

req.cookies = Object.create(null);

req.signedCookies = Object.create(null);

// nodejs层面没有cookie字段直接返回

if (!cookies) {

return next();

}

// 解析"name1=value; name2=value2",变成{name1: value1, name2: value2}

req.cookies = cookie.parse(cookies, options);

// 传了加密字符串则说明使用了签名cookie,这里解析签名的cookie

if (secret) {

// 解析签名cookie,见下面分析

req.signedCookies = parse.signedCookies(req.cookies, secret);

// 见下面一行

req.signedCookies = parse.JSONCookies(req.signedCookies);

}

// 这里放到这里是因为,如果有签名cookie的话,签名的cookie字段会从req.cookie对象里被删除,一般cookie和签名cookie是分来存储的,cookie的值只能是字符串,所以如果我们的值是对象那就需要序列化后再存储,jsonCookie就是解析值为序列化的字符串的情况,如果值是json化过的,前面会加上j:前缀,遇到这种值的时候就会调用JSON.parse解析出一个对象。

req.cookies = parse.JSONCookies(req.cookies);

next();

};

};

下面我们具体以上三步的具体实现。

1 常规cookie的解析,具体的源码就不贴了,随便找一个cookie的库就可以。

2 签名cookie的解析。

对应cookie值里以s:开头的就会进行解密处理,核心代码如下:

return str.substr(0, 2) === 's:' ? signature.unsign(str.slice(2), secret) : str;

unsign和相关函数

exports.unsign = function(val, secret){

var str = val.slice(0, val.lastIndexOf('.')), mac = exports.sign(str, secret);

return sha1(mac) == sha1(val) ? str : false;

};

function sha1(str){

return crypto.createHash('sha1').update(str).digest('hex');

}

加密后的cookie中会存着加密前字符串的值,所以先从加密的值中获取原始值,再加密一次,然后对比一下看值是否被篡改过。

读cookie也写完了。

theanarkh
关注
专栏目录
Express 的使用
阿里云云栖号
06-26 1156
以下内容,基于 Express 4.x 版本 Node.js 的 Express Express估计是那种你第一次接触,就会喜欢上用它的框架。因为它真的非常简单,直接。 在当前版本上,一共才这么几个文件: lib/ ├── application.js ├── express.js ├── middleware │ ├── init.js │ └── query.js ├── ...
Express】实战 - 应用案例(二)- realworld-API - 路由设计 - mongoose - 数据验证 - 密码加密 - 登录接口 - 身份认证 - token - 增删改查API
YK菌的博客
07-01 1335
后端接口项目
详解node.js平台下Express的session与cookie模块包的配置
12-23
首先下载两个模块包 session模块包:用于保持登录状态或保持会话状态等。 npm install express-session --save-dev cookie模块包:用于解析cookie。 npm install cookie-parser --save-dev 接着在app.js(我在node.js的配置中提到的,也就是服务器主文件)中配置: var session = require("express-session"); var cookie = require("cookie-parser"); app.configure(function() { app.use(
express-session-cookie 解析
眷恋天空的驴
03-17 421
保持用户登录状态: 客户端 cookie + server session 会话:一般跟踪用户,某段时间内用户多次访问网站,网站就可以确认用户的身份,因此需要在服务器跟客户端之间需要一个 一一对应的关系。一个用户的所有请求就应该属于同一个回话,其他用户的属于其他回话【eg: 超市购物 】 网站一般使用的htp协议,http协议是无状态的,一旦数据交换完成,客户端跟服务器端的连接就会关闭,再一
expresscookie的使用和cookie-parser的解读
weixin_34019929的博客
12-13 415
最近在研究express,学着使用cookie,开始不会用,就百度了一下,没有百度到特别完整的解答。查阅了express的API,综合了网友的博客,解读了cookie-parser的源码,以及使用WebStorm和Chrome验证,终于明白了expresscookie的使用。顾此篇文章即是分享也是总结。 1. cookie的创建 exp...
Express使用进阶:cookie-parser中间件实现深入剖析
最新发布
bluemoon_0的博客
01-10 434
Express使用进阶:cookie-parser中间件实现深入剖析
Express-Session源码分析
04-07
Express-Session源码解析与应用深度探讨》 在Node.js的世界里,Express框架以其轻量级、灵活性和强大的功能而备受青睐。然而,构建Web应用程序时,会话管理是必不可少的一部分,它允许服务器在多个请求之间保持...
node.js cookie-parser 中间件介绍
10-22
Node.js中的cookie-parser是...总结来说,Node.js的cookie-parser中间件是一个对HTTP请求中cookie数据进行解析和管理的工具,它使得开发者能够在使用express框架时更加方便地处理客户端与服务器之间的cookie数据交互。
MongoDB+Socket.io+async+JWT+Express+Webpack+ES6+Sass+React
Rain120
01-09 1425
最近在github上学习一个前端项目 机票 KieSun/Chat-Buy-React 主要是利用 React / Node 实现的应用,代码虽然不难,但涉及的东西很多,所以我把我最近学到的东西,作为笔记写在这里,供我以后使用,或者大家参考,有什么问题还请大佬指点 主要是利用 React / Node 实现的应用,代码虽然不难,但涉及的东西很多,所以我把我最近学到的东西,作为笔记
Node.js express框架中使用cookie,加密cookie (signed)
houyanhua1的专栏
03-07 3122
cookie加密.js:/* cookie的加密: 1.配置cookie-parser中间件 app.use(cookieParser('xxx')); //xxx表示加密的随机数(相当于密钥) 2.设置加密的cookie res.cookie('userinfo','123',{maxAge:600000,signed:true}); //signed设置为true 表示加密 3...
Express的使用
qq_42676363的博客
12-07 181
简介 Express 是一个简洁而灵活的 node.js Web应用框架, 提供了一系列强大特性帮助你创建各种 Web 应用,和丰富的 HTTP 工具。 使用 Express 可以快速地搭建一个完整功能的网站。 cookie-parser - 这就是一个解析Cookie的工具。通过req.cookies可以取到传过来的cookie,并把它们转成对象。 multer - node...
签名(signed)cookie和令牌(token)cookie
ahao214——Dreamspace
02-09 1412
对于用来登录的cookie,有两种常见的方式可以将登录信息存储在cookie里面:一种是签名(signed)cookie,另一种是令牌(token)cookie 签名cookie通常会存储用户名,可能还有用户ID、用户最后一次成功登录的时间,以及网站觉得有用的其他任何信息。 令牌cookie会在cookie里面存储一串随机字节作为令牌,服务器可以根据令牌在数据库中查找令牌的拥有者。 签名cookie 优点:验证cookie所需的一切信息都存储在cookie里面。cookie可以包含额外的信息(addit
cookie签名和恢复
qq_26239917的博客
05-11 642
1.导入cookie-parser 2.use (’/’,cookieParser()) 3.req设置签名文本 req.secret(‘xxxxxxxxxxxx’); 4.res进行签名 res.cookie(‘key’,‘value’,{signed:true}) 这里没设置存储目录和生存时间,都是默认值 4.对签名cookie进行恢复 1.coookieParser里面用秘钥对cooki...
Express全系列教程之(七):cookie的加密
仗剑天涯,从摘要开始
03-23 156
一、关于cookie加密 cookie加密是让客户端用户无法的值cookie明文信息,是数据安全的重要部分;一般的我们可以在保存cookie时对cookie信息进行加密,或者在res.cookie中对option对象的signed属性设置设置成true即可。 二、使用 signed 属性进行cookie加密 如下列代码: 1 2 3 4 5 ...
Express实现Session+Cookie认证
jlin991的博客
02-28 549
ExpressExpress 并非真正的 MVC 它是工作流的思想:水->净化->调配->装瓶->质检->饮用可乐var express=require('express'); var app=express(); app.get('/',function(req,res){ res.send('Hello World'); }); var server=app.listen(3000,
cookie-parser用于cookie签名签名解析的中间件,防止cookie被恶意更改
wzp20092009的博客
10-11 1123
cookie-parser是一个用于cookie签名签名解析的中间件,将返回前台的cookie设置属性signed值true签名,也通过请求的signedCookies获取签名cookie
express框架中cookie的使用
05-15 5517
cookie的工作原理http是一种无状态协议,设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。那个时候没有动态页面技术,只有纯粹的静态HTML页面,因此根本不需要协议能保持状态;cookie是在RFC2109(已废弃,被RFC2965取代)里初次被描述的,每个客户端最多保持三百个cookie,每个域名下最多20个Cookie(实际上一般浏览器现在都比这个多,如Firefox是50
tornado带签名cookie原理
weixin_30449239的博客
03-16 84
转载于:https://www.cnblogs.com/shiluoliming/p/6558048.html
Express预约维修服务系统源码解析与实践
因此,如何通过Express应用连接数据库、执行数据查询和更新操作是源码中必不可少的部分。 4. 前后端分离架构:考虑到前端和后端的分离,源码可能包含了RESTful API的设计。API设计是前后端分离模式中沟通的关键,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值