express中session设置secret后整体流程是什么?

最新推荐文章于 2022-04-19 17:18:35 发布
最新推荐文章于 2022-04-19 17:18:35 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: node 文章标签: session
原文链接:https://cnodejs.org/topic/55c37de8b98f51142b367aba
版权

所有的session-id都存储在cookie里面默认为connect.sid. 流程大概是

若本次cookie中没有connect.sid,则生成一个 [用secret生成connect.sid]

  1. uid-safe生成一个唯一id,记为sessionid,保证每次不重复;
  2. 把上面的connect.sid制作成 's:' + sessionid + '.' + sessionid.sha256(secret).base64() 的形式,实现在node-cookie-signature的sign函数;
  3. 把sessionid用set-cookie返回给前端;

若本次cookie中包含connect.sid,则验证它是否是本服务器生成的 [用secret验证connect.sid]

  1. 取出cookie中的connect.sid,形式是上面的 's:' + sessionid + '.' + sessionid.sha256(secret).base64() ;
  2. 从connect.sid中截取出sessionid=connect.sid.slice(2, connect.sid.indexOf(’.’));
  3. 用取出的sessionid再算一次 sessionid.sha256(secret).base64() 记为 mac;
  4. 截取connect.sid中’.'后的部分与mac对比;node-cookie-signature的unsign函数(用上次计算的sha256值和这次计算的sha256值进行比较,只要secret一样,结果就一样);
  5. 验证成功的sessionid继续往下走。

总结

用secret进行签名保证存在cookie中的connect.sid是本服务器上次生成的。除非知道secret,不然没办法伪造connect.sid中的sessionid,避免知道了sessionid生成算法的人(uid-safe)使用sessionid随便试探来攻击网站。

楼主的问题:解密后的值与加密前对比,及存储在哪里。 解密,算了两次带secret的sha256哈希值,判断两次sha256哈希值是否相等就达到效果了,哈希值没有解密的过程哦。存储,就是存储在connect.sid里面的 ‘.’ 后面的部分。

301NewError
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Express 4.x间件express-session的详细解析
sunq1982的博客
08-31 1623
对这个间件express-session的一些设置一直是懵懵懂懂,现在稍微懂了一点。 先简单的看下代码吧:这是路由页面代码 cookieRouter.jsvar express = require('express'); var bodyParser = require('body-parser');//引入此间件解析表单post来的数据 var session = require('ex
expresssession使用
zhong242526的博客
05-19 655
下载 npm i -S express-session app.js 1.引包 const session=require('express-session') 2.配置 app.use(session({ secret: 'AAA', //配置加密字符串,他会在原有加密基础上和这个字符串拼接起来再次加密,目的增加安全性 resave: true, saveUn...
Express框架之express-session的插件的攻坚战
高山上的鱼
04-06 4011
第一步:我们看看req对象在Express被封装了那些内容(简易版): httpVersionMajor: 1, httpVersionMinor: 1, httpVersion: '1.1', complete: true, headers:{}, rawHeaders:[], trailers: {}, rawTrailers: [], upgrade:
前后端的身份认证
weixin_43563864的博客
11-01 1973
一. 前后端的身份认证 1.1 Web 开发模式 目前主流的 Web 开发模式有两种,分别是: ①基于服务端渲染的传统 Web 开发模式 ②基于前后端分离的新型 Web 开发模式 1. 服务端渲染的 Web 开发模式 服务端渲染的概念:服务器发送给客户端的 HTML 页面,是在服务器通过字符串的拼接,动态生成的。因此,客户端不需要使用 Ajax 这样的技术额外请求页面的数据。代码示例如下: app.get('/index.html',(req,res)=>{ // 1. 要渲染的数据 const
express 实现session
时意
09-28 1478
1) session工作过程 1)用户登录后 把sessionID保存到Cookie 2)用户在请求网站别的服务器的时候 由浏览器请求带上cookie发送到服务器 3)服务器拿到sessionID后 通过该ID 找到保存在服务器的用户信息 4)拿到用户信息进行处理 2)express-session 配置参数 name -cookie的名字 store -session 存储实例 ...
Express Session的使用
C.
04-04 1万+
Express Session的使用 Session简单介绍 session 是另一种记录客户状态的机制,不同的是 Cookie 保存在客户端浏览器,而 session 保存在服务器上。 Session的用途: session运行在服务器端,当客户端第一次访问服务器时,可以将客户的登录信息保存。 当客户访问其他页面时,可以判断客户的登录状态,做出提示,相当于登录拦截。 sessi...
node.jsexpress-session配置项详解
10-19
3. **secret**: 这个配置项用于签名session数据,确保数据在传输过程不被篡改。通常设置为一个字符串,例如 `'keyboard cat'`。 4. **name**: 定义了响应session ID的cookie名称,默认是 `'connect.sid'`。如果...
express express-session的使用小结
10-17
const expressSession = require('express-session'); app.use(expressSession({ secret: 'hello world', saveUninitialized: true, resave: false, cookie: { maxAge: 1800000 }, rolling: true })); ``` ...
express如何解决ajax跨域访问session失效问题详解
10-16
总结起来,解决Expressajax跨域访问session失效问题的方法包括:客户端设置`xhrFields:{withCredentials:true}`;服务器端设置`Access-Control-Allow-Credentials: true`和指定的`Access-Control-Allow-Origin`;...
Express + Session 实现登录验证功能
08-29
Express 框架,使用 Session 来实现用户登录身份验证的流程大致如下: 1. 客户端在未登录的状态下请求主页时,服务器将该请求重定向到登录页面。 2. 客户端在登录后,服务器需要记录保存该客户端的登录状态,...
express如何使用session与cookie的方法
08-28
本文将详细介绍在Express框架如何使用session和cookie。 首先,cookie是由服务器发送到客户端(浏览器)的一小块数据,存储在用户的本地设备上。服务器可以通过检查客户端发送回的cookie来识别用户身份。在...
Express全系列教程之(八):session的基本使用
no10086的博客
04-27 465
一、关于session session是另一种记录客户状态的机制,与cookie保存在客户端浏览器不同,session保存在服务器当; 当客户端访问服务器时,服务器会生成一个session对象,对象保存的是key:value值,同时服务器会将key传回给客户端的cookie当;当用户第二次访问服务器时,就会把cookie当的key传回到服务器,最后服务器会吧value值返回给客户端。 因...
express-session的使用
FormAda的博客
09-06 1159
express框架不支持cookie和session,但可以使用第三方间件 express-session 1.安装 npm install express-session 2.配置 配置express-session一定要在app.use(router)挂载路由之前 app.use(session({ secret: 'keyboard cat', resave: false, saveUninitialized: true, cookie: ...
获得session_key和openId(加解密、签名系列)
热门推荐
sinat_36947685的博客
12-26 2万+
1:session_key和openId是什么?session_key 官方说明为: session_key是微信服务器生成的针对用户数据进行加密签名的密钥 session_key的用途 (1)对wx.getUserInfo()接口得到“用户信息的密文”进行解密。 (2)对它“稍作处理”,用作维护小程序的登录态。 “稍微处理”大体为: (1)生成一个随机数(官方把他
SECRET_KEY的重要性
lendq的Blog
12-02 1万+
SECRET_KEY SECTET_KEY 在 django在加密,安全方面都有很突出的用处 json object的签名 SELECT_KEY作用本质上是一个加
Android仿人人客户端(v5.7.1)——授权认证(用accessToken换取session_key、session_secret和userId)
android_ls的专栏
03-30 5503
转载请标明出处:http://blog.csdn.net/android_ls/article/details/8741383         网络模块的处理,基本上已讲解完,后面若遇到其他的网络处理需求再调整。这篇接着仿人人客户端(v5.7.1)——人人授权访问界面  继续,前面聊到打开人人授权界面,当用户输入访问人人的账号和密码,点击“登录”按钮后,若成功服务器端会返回accessTok
身份认证——session认证机制与JWT认证机制(入门到使用)
世界和我们都不该止步于此
04-19 4376
首先我们要了解什么是身份认证(Authentication)? 身份认证也叫身份验证或者鉴权,指通过一定的手段来完成对用户身份的验证 我们会使用session和JWT认证机制进行开发,那么我们在什么情况下使用这俩个认证机制呢? 推荐在服务端渲染开发情况下使用session认证机制 在前后端分离的Web开发环境下使用JWT认证机制 目录 一.session认证机制 1.HTTP协议的无状态性 2.Cookie突破HTTP无状态的限制 3.Cookie的缺点 4.提高身份认证的安全性 5.
Flask secret_key的设置session有影响
Gavin Guan的专栏
12-27 5666
今天打算部署一个Flask项目,用到了session,以前看到有文章说把secret_key设置成os.urandom(24)会很安全,于是就用了它,在本地调试的时候session管理没有问题,但是如果在服务器上用gunicorn+nginx部署,登录注册就乱掉了,基本上都能猜到是session的问题,但是为什么还不知道,于是就去google一下,很快就找到答案了。 先贴个链接:http:/
如何安装express-session间件?
最新发布
06-06
安装 `express-session` 间件的步骤如下: 1. 在你的项目根目录下打开命令行终端 2. 输入以下命令安装 `express-session` 间件: ``` npm install express-session ``` 3. 在需要使用 `express-session` 间件的文件引入它: ``` const session = require('express-session'); ``` 4. 在 `app` 实例使用 `session` 间件: ``` app.use(session({ secret: 'your secret key', // 用于加密 session 的密钥,可以自定义 resave: false, // 是否每次请求都重新保存 session,默认为 true saveUninitialized: true // 是否自动保存未初始化的 session,默认为 true })); ``` 其,`secret` 是必填项,其余两项可以不填。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值