文章導讀
cookie-parser是Express的中介軟體,用來實現cookie的解析,是官方腳手架內建的中介軟體之一。
它的使用非常簡單,但在使用過程中偶爾也會遇到問題。一般都是因為對Express + cookie-parser的簽名、驗證機制不瞭解導致的。
本文深入講解Express + cookie-parser的簽名和驗證的實現機制,以及cookie簽名是如何增強網站的安全性的。
文字同步收錄於GitHub主題系列《Nodejs學習筆記》
入門例子:cookie設定與解析
先從最簡單的例子來看下cookie-parser的使用,這裡採用預設配置。
- cookie設定:使用
Express的內建方法res.cookie()。 - cookie解析:使用
cookie-parser中介軟體。
var express = require(`express`);
var cookieParser = require(`cookie-parser`);
var app = express();
app.use(cookieParser());
app.use(function (req, res, next) {
console.log(req.cookies.nick); // 第二次訪問,輸出chyingp
next();
});
app.use(function (req, res, next) {
res.cookie(`nick`, `chyingp`);
res.end(`ok`);
});
app.listen(3000);
複製程式碼在當前場景下,cookie-parser中介軟體大致實現如下:
app.use(function (req, res, next) {
req.cookies = cookie.parse(req.headers.cookie);
next();
});
複製程式碼進階例子:cookie簽名與解析
出於安全的考慮,我們通常需要對cookie進行簽名。
例子改寫如下,有幾個注意點:
cookieParser初始化時,傳入secret作為簽名的祕鑰。- 設定cookie時,將
signed設定為true,表示對即將設定的cookie進行簽名。 - 獲取cookie時,可以通過
req.cookies,也可以通過req.signedCookies獲取。
var express = require(`express`);
var cookieParser = require(`cookie-parser`);
var app = express();
// 初始化中介軟體,傳入的第一個引數為singed secret
app.use(cookieParser(`secret`));
app.use(function (req, res, next) {
console.log(req.cookies.nick); // chyingp
console.log(req.signedCookies.nick); // chyingp
next();
});
app.use(function (req, res, next) {
// 傳入第三個引數 {signed: true},表示要對cookie進行摘要計算
res.cookie(`nick`, `chyingp`, {signed: true});
res.end(`ok`);
});
app.listen(3000);
複製程式碼簽名前的cookie值為chyingp,簽名後的cookie值為s%3Achyingp.uVofnk6k%2B9mHQpdPlQeOfjM8B5oa6mppny9d%2BmG9rD0,decode後為s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0。
下面就來分析下,cookie的簽名、解析是如何實現的。
cookie簽名、驗證實現剖析
Express完成cookie值的簽名,cookie-parser實現簽名cookie的解析。兩者共用同一個祕鑰。
cookie簽名
Express對cookie的設定(包括簽名),都是通過res.cookie()這個方法實現的。
精簡後的程式碼如下:
res.cookie = function (name, value, options) {
var secret = this.req.secret;
var signed = opts.signed;
// 如果 options.signed 為true,則對cookie進行簽名
if (signed) {
val = `s:` + sign(val, secret);
}
this.append(`Set-Cookie`, cookie.serialize(name, String(val), opts));
return this;
};
複製程式碼sign為簽名函式。虛擬碼如下,其實就是把cookie的原始值,跟hmac後的值拼接起來。
敲黑板劃重點:簽名後的cookie值,包含了原始值。
function sign (val, secret) {
return val + `.` + hmac(val, secret);
}
複製程式碼這裡的secret哪來的呢?是cookie-parser初始化的時候傳入的。如下虛擬碼所示:
var cookieParser = function (secret) {
return function (req, res, next) {
req.secret = secret;
// ...
next();
};
};
app.use(cookieParser(`secret`));
複製程式碼簽名cookie解析
知道了cookie簽名的機制後,如何”解析”簽名cookie就很清楚了。這個階段,中介軟體主要做了兩件事:
- 將簽名cookie對應的原始值提取出來
- 驗證簽名cookie是否合法
實現程式碼如下:
// str:簽名後的cookie,比如 "s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
// secret:祕鑰,比如 "secret"
function signedCookie(str, secret) {
// 檢查是否 s: 開頭,確保只對簽過名的cookie進行解析
if (str.substr(0, 2) !== `s:`) {
return str;
}
// 校驗簽名的值是否合法,如合法,返回true,否則,返回false
var val = unsign(str.slice(2), secret);
if (val !== false) {
return val;
}
return false;
}
複製程式碼判斷、提取cookie原始值比較簡單。只是是unsign方法名比較有迷惑性。
一般只會對簽名進行合法校驗,並沒有所謂的反簽名。
unsign方法的程式碼如下:
- 首先,從傳入的cookie值中,分別提取出原始值A1、簽名值B1。
- 其次,用同樣的祕鑰對A1進行簽名,得到A2。
- 最後,根據A2、B1是否相等,判斷簽名是否合法。
exports.unsign = function(val, secret){
var str = val.slice(0, val.lastIndexOf(`.`))
, mac = exports.sign(str, secret);
return sha1(mac) == sha1(val) ? str : false;
};
複製程式碼cookie簽名的作用
主要是出於安全考慮,防止cookie被篡改,增強安全性。
舉個小例子來看下cookie簽名是如何實現防篡改的。
基於前面的例子展開。假設網站通過nick這個cookie來區分當前登入的使用者是誰。在前面例子中,登入使用者的cookie中,nick對應的值如下:(decode後的)
s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
複製程式碼此時,有人試圖修改這個cookie值,來達到偽造身份的目的。比如修改成xiaoming:
s:xiaoming.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0
複製程式碼當網站收到請求,對簽名cookie進行解析,發現簽名驗證不通過。由此可判斷,cookie是偽造的。
hmac("xiaoming", "secret") !== "uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0"
複製程式碼簽名就一定能夠確保安全嗎
當然不是。
上個小節的例子,僅通過nick這個cookie的值來判斷登入的是哪個使用者,這是一個非常糟糕的設計。雖然在祕鑰未知的情況下,很難偽造簽名cookie。但使用者名稱相同的情況下,簽名也是相同的。這種情況下,其實是很容易偽造的。
另外,開源元件的演算法是公開的,因此祕鑰的安全性就成了關鍵,要確保祕鑰不洩露。
還有很多,這裡不展開。
小結
本文主要對Express + cookie-parser的簽名和解析機制進行相對深入的介紹。
不少類似的總結文章中,把cookie的簽名說成了加密,這是一個常見的錯誤,讀者朋友需要注意一下。
簽名部分的介紹,稍微涉及一些簡單的安全知識,對這塊不熟悉的同學可以留言交流。為講解方便,部分段落、用詞可能不夠嚴謹。如有錯漏,敬請指出。
相關連結
https://github.com/expressjs/cookie-parser
https://github.com/chyingp/nodejs-learning-guide