express-session在浏览器中存的connect.sid是加密过的

最新推荐文章于 2023-03-15 10:00:59 发布
最新推荐文章于 2023-03-15 10:00:59 发布
阅读量1.8k 收藏 1
点赞数
分类专栏: html+js+jquery+css
原文链接:https://www.jianshu.com/p/c55b99261cd2
版权

每个项目产品都要加埋点,加500行埋点是不是会占用你一两天的时间而且很容易犯错,想只用一小时准确加完这500行埋点剩下一天喝茶聊天么?来试试这520工具,高效加埋点,目前我们公司100号前端都在用,因为很好用,所以很自然普及开来了,推荐给大家吧

http://www.520webtool.com/

自己开发所以免费,埋点越多越能节约时间,点两下埋点就加上了,还不会犯错,里面有使用视频,反正免费 😄

以下文章中涉及的算法可能已经更改,但是流程/原理是差不多的
https://cnodejs.org/topic/55c37de8b98f51142b367aba

若本次cookie中没有connect.sid,则生成一个 [用secret生成connect.sid]

  1. uid-safe生成一个唯一id,记为sessionid,保证每次不重复;
  2. 把上面的connect.sid制作成 's:' + sessionid + '.' + sessionid.sha256(secret).base64() 的形式,实现在node-cookie-signature的sign函数;
  3. 把sessionid用set-cookie返回给前端;

若本次cookie中包含connect.sid,则验证它是否是本服务器生成的 [用secret验证connect.sid]

  1. 取出cookie中的connect.sid,形式是上面的 's:' + sessionid + '.' + sessionid.sha256(secret).base64()
  2. 从connect.sid中截取出sessionid=connect.sid.slice(2, connect.sid.indexOf(’.’));
  3. 用取出的sessionid再算一次 sessionid.sha256(secret).base64() 记为 mac;
  4. 截取connect.sid中’.'后的部分与mac对比;node-cookie-signature的unsign函数(用上次计算的sha256值和这次计算的sha256值进行比较,只要secret一样,结果就一样);
  5. 验证成功的sessionid继续往下走。

总结

用secret进行签名保证存在cookie中的connect.sid是本服务器上次生成的。除非知道secret,不然没办法伪造connect.sid中的sessionid,避免知道了sessionid生成算法的人(uid-safe)使用sessionid随便试探来攻击网站。
解密,算了两次带secret的sha256哈希值,判断两次sha256哈希值是否相等就达到效果了,哈希值没有解密的过程。



作者:网络中迷茫
链接:https://www.jianshu.com/p/c55b99261cd2
来源:简书
著作权归作者所有。商业转载请联系作者获得授权,非商业转载请注明出处。

飞翔的熊blabla
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Express: 用户模块练习(md5加密,session,文件上传)
做个懂管理、懂产品,懂技术的大叔
04-27 337
express项目搭建 express app -e cd app && npm start localhost:3000 // 修改ejs模板引擎 1.修改后缀名设置 app.js 2.修改view下的文件后缀 // 修改package.json文件中 node=>supervisor:当修改了express项目中的文件的时候,服务器自动重启 // npm in...
express-mysql-session:节点中用于express框架MySQL会话存储
02-04
安装通过npm添加到您的应用npm : npm install express-mysql-session --save 这将安装express-mysql-session并将其添加到应用程序的package.json文件中。重要笔记这里有潜在的陷阱和其他重要信息。旧版本对于仍在...
【Node.js】身份认证,Cookie和Session的认证机制,express中使用session认证和JWT认证
weixin_44899940的博客
03-15 1614
身份认证又称身份验证,鉴权,是指通过一定的手段完成对用户身份的确认web开发中,涉及到用户身份的认证。例如各大网站的手机验证码登录,邮箱密码登录,二维码登录。
session及cookie问题
weixin_47724586的博客
09-13 421
session及cookie问题 1.当用户登录成功时,会在服务器中创建一个session,session中保存客户端和服务器的连接唯一标识connect-sid, 2.当服务器返回数据时会把字段名叫set-cookie,字段值叫connect-sid的字段放在响应头中 3.客户端接受信息时会检测响应头中是否存在set-cookie字段,如果存在会把字段里的值放到浏览器的cookie中 4.下次客户端发送请求时会把浏览器中cookie的connect-sid放到请求头中。 5.当我们在当前域发送接口时会自动
轻松解决Session-Cookie 鉴权(含坑)附代码
小陈的博客
02-13 745
浏览器访问服务器并发送第一次请求时,服务器端会创建一个session对象,生成一个类似于 key,value的键值对,然后将key(cookie)返回到浏览器(客户)端,浏览器下次再访问时,携带key(cookie), 找到对应的session(value)。客户的信息都保存在session中最近还整理一份JavaScript与ES的笔记,一共25个重要的知识点,对每个知识点都进行了讲解和分析。能帮你快速掌握JavaScript与ES的相关知识,提升工作效率。
node session使用
dacksir的博客
10-27 1066
cookie 虽然很方便,但是使用 cookie 有一个很大的弊端,cookie 中的所有数据在客户端就可以被修改,数据非常容易被伪造,那么一些重要的数据就不能存放在 cookie 中了,而且如果 cookie 中数据字段太多会影响传输效率。为了解决这些问题,就产生了 session,session 中的数据是保留在服务器端的。 session 的运作通过一个 session_id 来进行。session_id 通常是存放在客户端的 cookie 中,比如在 express 中,默认是 connect.si
node.js中express-session配置项详解
10-19
在Node.js中,Express框架提供了`express-session`中间件来处理HTTP会话管理。这个中间件允许开发者在服务器端存储用户会话数据,而只将一个唯一的session ID通过cookie发送到客户端。本文将详细解析`express-...
详解Node.js开发中的express-session
10-19
express-session 是基于express框专门用于处理session的中间件,本篇文章主要介绍了详解Node.js开发中的express-session,有兴趣的可以了解一下
express-session-socket.io:旨在与 express-sessionexpress-session 会话存储和 sockiet.io 集成的中间件
07-01
express-session-socket.io 用于在 socket.io 中公开表达会话对象的简单中间件用法示例: io.use(require('express-session-socket.io')(sessionStore, 'very Secure Secret', function (err, session, socket, next...
node.js 中间件express-session使用详解
01-02
本文介绍的关于node.js中间件express-session的相关内容,分享出来供大家从参考学习,下面来一起看看详细的介绍: 一、为什么使用session? session运行在服务器端,当客户端第一次访问服务器时,可以将客户的登录...
express中session设置secret后整体流程是什么?
777
07-08 1118
所有的session-id都存储在cookie里面默认为connect.sid.流程大概是 若本次cookie中没有connect.sid,则生成一个 [用secret生成connect.sid] 用uid-safe生成一个唯一id,记为sessionid,保证每次不重复; 把上面的connect.sid制作成's:' + sessionid + '.' + sessionid.sha256(secret).base64()的形式,实现在node-cookie-signature的sign函数;...
关于Tokens你需要知道的10件事
weixin_30237281的博客
08-30 597
——进一步探讨基于Token认证的一些常见问题 原文链接:Here 原作者:Matias Woloski 几周前我们发表了一篇短文《cookies与tokens在单页应用中的对比》(主要以AngularJs应用为例)。社区里对这个话题很感兴趣,于是我们接着发表了第二篇《在socket.io等实时框架中基于Token的认证》。趁着大家对这个话题还保持着热情,我们决定再写一篇文章进一步探讨基...
jdbc连接数据库使用sid和service_name的区别
iteye_18978的博客
08-20 341
最近使用jdbc连接oracle时报错: ORA-12505, TNS:listener does not currently know of SID given in connect descriptor The Connection descriptor used by the client was: 10.12.162.84:1521:xxxx 登陆oracle数据发现在netwo...
关于从js下手的一些渗透经验
https://www.cnblogs.com/zpchcbd/
09-25 1534
如下说的并不是一定是的 还是根据实际情况来判断!!! 1、如何判断是JS开发的站 1、源代码简短 2、引入多个js文件 3、一般有/static/js/app.js 等顺序的js文件 4、cookie中有connect.sid 如何查看重要js文件 1、寻找配置文件 2、查看app.xxx.js(一般引入的js文件都在static静态目录下 搜索的时候可以直接尝试static搜索下手) 查看j...
cookie、session和token那些事
doprasystem的博客
01-19 8283
cookie 和 session 众所周知,HTTP 是一个无状态协议,所以客户端每次发出请求时,下一次请求无法得知上一次请求所包含的状态数据,如何能把一个用户的状态数据关联起来呢? 比如在淘宝的某个页面中,你进行了登陆操作。当你跳转到商品页时,服务端如何知道你是已经登陆的状态? cookie 首先产生了 cookie 这门技术来解决这个问题,cookie 是 ht
nodejs session MD5加密学习笔记
sunling的专栏
06-13 527
nodejs session应用 node中 需要引用express-session , var session = require('express-session')(); 读取和存储都用req.session var express = require('express'); var app = express(); var session = require("express-
express中session使用
zhong242526的博客
05-19 663
下载 npm i -S express-session app.js 1.引包 const session=require('express-session') 2.配置 app.use(session({ secret: 'AAA', //配置加密字符串,他会在原有加密基础上和这个字符串拼接起来再次加密,目的增加安全性 resave: true, saveUn...
Express Session的使用
热门推荐
C.
04-04 1万+
Express Session的使用 Session简单介绍 session 是另一种记录客户状态的机制,不同的是 Cookie 保存在客户端浏览器中,而 session 保存在服务器上。 Session的用途: session运行在服务器端,当客户端第一次访问服务器时,可以将客户的登录信息保存。 当客户访问其他页面时,可以判断客户的登录状态,做出提示,相当于登录拦截。 sessi...
sf-csim-express-sdk-v2.1.7.jar
最新发布
08-17
sf-csim-express-sdk-v2.1.7.jar是顺丰国际电商平台提供的一个Java软件开发包,用于与顺丰国际电商平台进行互动和数据交互。该SDK提供了一系列的API和函数,用于实现电商系统与顺丰国际电商平台的对接和集成。 使用...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值