2. 程式人生 > >Cookie-Parser是怎樣解析簽名後的cookie的(同一時候對cookie和cookie-signature進行說明)

Cookie-Parser是怎樣解析簽名後的cookie的(同一時候對cookie和cookie-signature進行說明)

阿新 發佈:2017-07-23
特殊 -c decode 這一 由於 spl str array one

第一步:我們來學習一下cookie-signature:

var cookie=require('./index');
var val = cookie.sign('hello', 'tobiiscool');
console.log(val);
//打印hello.DGDUkGlIkCzPz+C0B064FNgHdEjox7ch8tOBGslZ5QI
 var unsign=cookie.unsign(val, 'tobiiscool')
 console.log(unsign);
 //打印hello
我們再來看看他在內部是怎樣進行加密的: 

exports.sign = function(val, secret){
  if ('string' != typeof val) throw new TypeError("Cookie value must be provided as a string.");
  if ('string' != typeof secret) throw new TypeError("Secret string must be provided.");
  //最後加密過的字符串是中間包括一個點的字符串,是通過sha256來進行編碼的
  return val + '.' + crypto
    .createHmac('sha256', secret)
    .update(val)
    .digest('base64')
    .replace(/\=+$/, '');
};
通過這部分的代碼我們知道加密後的字符串在點簽名是明文,後面是經過sha256編碼的密文。

那麽我們接下來我們看看怎樣進行解碼: 

//也就是說調用unsign方法的時候 var unsign=cookie.unsign(val, 'tobiiscool')首先是獲取到點號前面的明文,然後對這個明文進行一次加密,加密結果是:"明文+sha256編碼的密文"
exports.unsign = function(val, secret){
  if ('string' != typeof val) throw new TypeError("Signed cookie string must be provided.");
  if ('string' != typeof secret) throw new TypeError("Secret string must be provided.");
  //加密後的cookie是這樣的類型的:hello.DGDUkGlIkCzPz+C0B064FNgHdEjox7ch8tOBGslZ5QI
  var str = val.slice(0, val.lastIndexOf('.'))
  //獲取最後一個點號前面的字符作為我們要解密的cookie的簽名
    , mac = exports.sign(str, secret);
 //然後對傳入的解密的val和剛才通過明文加密的結果進行對象,假設同樣就是true,否則就是false
  return sha1(mac) == sha1(val) ?
 
 str : false;
};
//對string進行sha1算法
function sha1(str){
  return crypto.createHash('sha1').update(str).digest('hex');
}
我們能夠非常清楚的看到在解密時候首先獲取到明文,也就是點前面的一部分,然後對這部分進行一次加密。這應該是期望的加密的結果。然後我們把期望的加密結果和用戶傳入的加密結果進行一次同樣的sha1算法,比較兩者的結果,假設同樣表示成功!

第二步:我們來學習cookie插件

/*!
 * cookie
 * Copyright(c) 2012-2014 Roman Shtylman
 * Copyright(c) 2015 Douglas Christopher Wilson
 * MIT Licensed
 */

/**
 * Module exports.
 * @public
 */

exports.parse = parse;
exports.serialize = serialize;

/**
 * Module variables.
 * @private
 */

var decode = decodeURIComponent;
var encode = encodeURIComponent;
var pairSplitRegExp = /; */;

/**
 * RegExp to match field-content in RFC 7230 sec 3.2
 *
 * field-content = field-vchar [ 1*( SP / HTAB ) field-vchar ]
 * field-vchar   = VCHAR / obs-text
 * obs-text      = %x80-FF
 */

var fieldContentRegExp = /^[\u0009\u0020-\u007e\u0080-\u00ff]+$/;

/**
 * Parse a cookie header.
 *
 * Parse the given cookie header string into an object
 * The object has the various cookies as keys(names) => values
 *
 * @param {string} str
 * @param {object} [options]
 * @return {object}
 * @public
 */
//cookie.parse(cookies, options);當中cookies參數是從req.headers.cookie中獲取到的!
function parse(str, options) {
  //參數必須是string類型
  if (typeof str !== 'string') {
    throw new TypeError('argument str must be a string');
  }
  var obj = {}
  var opt = options || {};
  //options默認是一個空對象,用戶也能夠自己傳入
  var pairs = str.split(pairSplitRegExp);
  //var pairSplitRegExp = /; */;進行cookie分解
  var dec = opt.decode || decode;
 //dec表示用戶自己傳入的解密cookie的函數,默認是decodeURIComponent
  pairs.forEach(function(pair) {
    //接下來遍歷我們通過正則表達式匹配出來的cookie!
    var eq_idx = pair.indexOf('=')
    //獲取=號的下標
    // skip things that don't look like key=value
    if (eq_idx < 0) {
      return;
    }
    var key = pair.substr(0, eq_idx).trim()
    var val = pair.substr(++eq_idx, pair.length).trim();
    //獲取cookie的key和value值
    // quoted values
    //假設cookie的值是一個用引號括起來的字符串,這時候就就把前後的引號分割掉!
    if ('"' == val[0]) {
      val = val.slice(1, -1);
    }
    // only assign once
    if (undefined == obj[key]) {
      //通過用戶傳入的options中的decode函數對cookie的值進行解密
      obj[key] = tryDecode(val, dec);
    }
  });
  return obj;
}
/**
 * Serialize data into a cookie header.
 *
 * Serialize the a name value pair into a cookie string suitable for
 * http headers. An optional options object specified cookie parameters.
 *
 * serialize('foo', 'bar', { httpOnly: true })
 *   => "foo=bar; httpOnly"
 *
 * @param {string} name
 * @param {string} val
 * @param {object} [options]
 * @return {string}
 * @public
 */

function serialize(name, val, options) {
  var opt = options || {};
  var enc = opt.encode || encode;

  if (!fieldContentRegExp.test(name)) {
    throw new TypeError('argument name is invalid');
  }
  var value = enc(val);

  if (value && !fieldContentRegExp.test(value)) {
    throw new TypeError('argument val is invalid');
  }
  var pairs = [name + '=' + value];
  if (null != opt.maxAge) {
    var maxAge = opt.maxAge - 0;
    if (isNaN(maxAge)) throw new Error('maxAge should be a Number');
    pairs.push('Max-Age=' + Math.floor(maxAge));
  }
  if (opt.domain) {
    if (!fieldContentRegExp.test(opt.domain)) {
      throw new TypeError('option domain is invalid');
    }
    pairs.push('Domain=' + opt.domain);
  }
  if (opt.path) {
    if (!fieldContentRegExp.test(opt.path)) {
      throw new TypeError('option path is invalid');
    }

    pairs.push('Path=' + opt.path);
  }

  if (opt.expires) pairs.push('Expires=' + opt.expires.toUTCString());
  if (opt.httpOnly) pairs.push('HttpOnly');
  if (opt.secure) pairs.push('Secure');
  if (opt.firstPartyOnly) pairs.push('First-Party-Only');

  return pairs.join('; ');
}

/**
 * Try decoding a string using a decoding function.
 *
 * @param {string} str
 * @param {function} decode
 * @private
 */

function tryDecode(str, decode) {
  try {
    //直接調用decode就能夠了
    return decode(str);
  } catch (e) {
    return str;
  }
}
這個插件的功能是比較簡單的,就是把用戶傳入的cookie字符串解析為一個對象,並且options中的decode默認是經過decodeURIComponent處理過的!
最後一步:弄清楚cookie-parser
'use strict';
var cookie = require('cookie');
var signature = require('cookie-signature');
module.exports = cookieParser;
module.exports.JSONCookie = JSONCookie;
module.exports.JSONCookies = JSONCookies;
module.exports.signedCookie = signedCookie;
module.exports.signedCookies = signedCookies;
非常顯然這個模塊依賴於我們前面引入的cookie和cookie-signature模塊。

我們首先來分析cookieParser方法: 

function cookieParser(secret, options) {
  return function cookieParser(req, res, next) {
    //假設req.cookies已經存在那麽直接調用以下一個中間件
    if (req.cookies) {
      return next();
    }
    //獲取req.headers.cookie中保存的cookie
    var cookies = req.headers.cookie;
    //假設secret不存在。或者存在了是一個數組那麽都會變成一個數組,不存在就是空數組。
假設不過一個string那麽secrets就會變成一個只包括這個string的數組
    var secrets = !secret || Array.isArray(secret)
      ? (secret || [])
      : [secret];
    //把第一個參數封裝到req.secret中
    req.secret = secrets[0];
    //初始化req.cookies為一個空對象
    req.cookies = Object.create(null);
    //初始化req.signedCookies也是一個空對象
    req.signedCookies = Object.create(null);
    //假設請求頭中沒有cookie那麽也用不著對cookie進行加密
    // no cookies
    if (!cookies) {
      return next();
    }
    //假設請求頭中也存在cookie,那麽把req.headers.cookie中的cookie進行解析,當中options就是傳入的options參數。然後把解析結果封裝到req.cookies上
    req.cookies = cookie.parse(cookies, options);
    // parse signed cookies
    //解析簽名後的cookie,由於用戶提供了秘鑰把解析的結果封裝到 req.signedCookies上面,傳入的參數是解析出來的cookies並被封裝到req.cookies上面
    if (secrets !== 0) {
      //上面是對cookie進行解析。解析成為鍵值對的形式。這裏是通過secret對cookie進行簽名
      req.signedCookies = signedCookies(req.cookies, secrets);
      req.signedCookies = JSONCookies(req.signedCookies);
    }
    // parse JSON cookies
    req.cookies = JSONCookies(req.cookies);
    next();
  };
}
非常顯然。首先通過引入cookie模塊把req.headers.cookies的字符串解析為一個對象,接著調用signedCookies方法,我們看看signedCookies方法在幹什麽? 

function signedCookies(obj, secret) {
  var cookies = Object.keys(obj);
  //獲取全部的鍵名
  var dec;
  var key;
  var ret = Object.create(null);
  var val;
  //對鍵名進行叠代
  for (var i = 0; i < cookies.length; i++) {
    key = cookies[i];
    val = obj[key];
    //當中key是cookie的鍵,而val是cookie的值,然後調用signedCookie方法通過secret對cookie進行解密
    dec = signedCookie(val, secret);
    //解密後的cookie怎樣和解密前的cookie是一樣的那麽表示壓根就不須要解密,僅僅有須要被解密的cookie最後才會被返回!
    if (val !== dec) {
      ret[key] = dec;
      delete obj[key];
    }
  }
  return ret;
}
這種方法的作用是解析加密後的cookie,然後返回key/value模式。當中調用了signedCookie對每個值進行單獨的解析和推斷: 

function signedCookie(str, secret) {
  //假設要簽名的值不是string那麽直接返回undefined
  if (typeof str !== 'string') {
    return undefined;
  }
  //假設要簽名的值前兩個不是s:那麽返回原字符串
  if (str.substr(0, 2) !== 's:') {
    return str;
  }
  var secrets = !secret || Array.isArray(secret)
    ?
 (secret || [])
    : [secret];
 //把secret轉化為一個數組,假設沒有傳入就是空數組,假設傳入的字符串那麽就變成僅僅有一個元素的數組!
  for (var i = 0; i < secrets.length; i++) {
    var val = signature.unsign(str.slice(2), secrets[i]);
    //對值進行解析,signature.unsign第一個參數是去除前兩個字符也就是"s:"後的值,第二個參數是數組中的每個元素。因此每個元素都會成為秘鑰
    //假設解析出來的val值不是false那麽返回解析出來的值,否則返回false。也就是僅僅要有一個解析出來的值不是false那麽後面的秘鑰就不會被使用了!
    if (val !== false) {
      return val;
    }
  }
  return false;
}
這種方法的作用是返回解密後的cookie的值。傳入的第一個參數str表示的是從client獲取到的加密後的cookie,可是首先要分割掉前面的"s:"。接著調用前面的cookie-signature的unsign方法對cookie的有效性進行推斷,假設返回的不是false表示這個cookie是有效的,這時候返回解密後的cookie就能夠了,所以這時候server端獲取到的就是解密的cookie的值。

另一點。在signedCookie假設這個cookie是有效的那麽就返回解密後的值。否則就返回false,進而到signedCookies中進行處理,把解密後的cookie封裝到特定的key上面!
接著我們回到上面的這一部分邏輯,弄清楚它在幹什麽? 

 if (secrets !== 0) {
      //上面是對cookie進行解析,解析成為鍵值對的形式,這裏是通過secret對cookie進行簽名
      req.signedCookies = signedCookies(req.cookies, secrets);
      req.signedCookies = JSONCookies(req.signedCookies);
    }
    // parse JSON cookies
    req.cookies = JSONCookies(req.cookies);
    next();
我們把解密後的cookie封裝到req.signedCookies域中。接著又對當中的cookie進行了特殊的處理,也就是經過JSONCookies,我們看看這種方法在做什麽? 

function JSONCookies(obj) {
  var cookies = Object.keys(obj);
  var key;
  var val;
  for (var i = 0; i < cookies.length; i++) {
    key = cookies[i];
    //獲取key值
    val = JSONCookie(obj[key]);
    //對每個value值調用JSONCookie方法,假設返回了值那麽更新特定的key相應的value值!
    if (val) {
      obj[key] = val;
    }
  }
  return obj;
}
接著我們看看JSONCookie在幹嗎? 

function JSONCookie(str) {
  if (typeof str !== 'string' || str.substr(0, 2) !== 'j:') {
    return undefined;
  }
 //從這個邏輯非常easy推斷出什麽是JSONCookie(ven圖),也就是必須是值為string同一時候前兩個字符為"j:"才會進行特殊的處理
  try {
    return JSON.parse(str.slice(2));
    //否則通過JSON.parse進行處理
  } catch (err) {
    return undefined;
  }
}

總之:假設對簽名的cookie進行了解析後假設是JSONCookie那麽就會進行JSON.parse處理!並且我們通過代碼非常easy看到在req對象上綁定了例如以下的屬性:

req.secret:傳入的秘鑰用於對cookie進行加密

req.cookies:對req.headers.cookie中的cookie進行解析,返回的一個對象

req.signedCookies:保存的是解析後的cookie的真實值。可是可能還會被JSONCookie進行處理

我們再來看看cookie插件中的serialize方法:

//var hdr = cookie.serialize('foo', 'bar');
function serialize(name, val, options) {
  var opt = options || {};
  var enc = opt.encode || encode;
  //options對象的encode函數
  if (!fieldContentRegExp.test(name)) {
    //var fieldContentRegExp = /^[\u0009\u0020-\u007e\u0080-\u00ff]+$/;
    throw new TypeError('argument name is invalid');
  }
  var value = enc(val);
//var encode = encodeURIComponent;對value值進行encodeURIComponent操作
  if (value && !fieldContentRegExp.test(value)) {
    throw new TypeError('argument val is invalid');
  }
  //非常顯然沒有對name進行encodeURIComponent。僅僅要name在特定的Unicode區間就能夠了
  var pairs = [name + '=' + value];
  //指定maxAge
  if (null != opt.maxAge) {
    var maxAge = opt.maxAge - 0;
    if (isNaN(maxAge)) throw new Error('maxAge should be a Number');
    pairs.push('Max-Age=' + Math.floor(maxAge));
  }
  //指定domian
  if (opt.domain) {
    if (!fieldContentRegExp.test(opt.domain)) {
      throw new TypeError('option domain is invalid');
    }
    pairs.push('Domain=' + opt.domain);
  }
  //指定path
  if (opt.path) {
    if (!fieldContentRegExp.test(opt.path)) {
      throw new TypeError('option path is invalid');
    }
    pairs.push('Path=' + opt.path);
  }
  //指定expires
  if (opt.expires) pairs.push('Expires=' + opt.expires.toUTCString());
  if (opt.httpOnly) pairs.push('HttpOnly');
  if (opt.secure) pairs.push('Secure');
  if (opt.firstPartyOnly) pairs.push('First-Party-Only');
   //不知道First-Party-Only是幹嘛的,並且這個頭還不是鍵值對,而是與httponly一樣
  return pairs.join('; ');
}

註意事項:前面說了要分割掉cookie中的"s:",設置為什麽呢?我們來看看使用了cookie-parser後cookie格式是怎麽樣的?

Cookie:qinliang=s%3ABDOjujVhV0DH9Atax_gl4DgZ4-1RGvjQ.OeUddoRalzB4iSmUHcE8oMziad4Ig7jUT1REzGcYcdg; blog=s%3A-ZkSm8urr8KsXAKsZbSTCp8EWOu7zq2o.Axjo6YmD2dLPGQK9aD1mR8FcpOzyHaGG6cfGUWUVK00
我們把前面的qinliang部分的cookie進行一下decodeURIComponent處理:

console.log(decodeURIComponent('s%3ABDOjujVhV0DH9Atax_gl4DgZ4-1RGvjQ.OeUddoRalzB4iSmUHcE8oMziad4Ig7jUT1REzGcYcdg'));
這時候就會發現打印例如以下的結果了:

s:BDOjujVhV0DH9Atax_gl4DgZ4-1RGvjQ.OeUddoRalzB4iSmUHcE8oMziad4Ig7jUT1REzGcYcdg
這也是為什麽前面說要分割掉前面的"s:"的原因!

當中有兩點須要細致考慮:

(1)cookie的name和value有一個正則表達式範圍

var fieldContentRegExp = /^[\u0009\u0020-\u007e\u0080-\u00ff]+$/;
(2)First-Party-Only 

 if (opt.firstPartyOnly) pairs.push('First-Party-Only');


Cookie-Parser是怎樣解析簽名後的cookie的(同一時候對cookie和cookie-signature進行說明)

相關推薦

Cookie-Parser是怎樣解析簽名cookie的(同一時候對cookiecookie-signature進行說明)

特殊 -c decode 這一 由於 spl str array one 第一步:我們來學習一下cookie-signature: var cookie=require('./index'); var val = cookie.sign(

不同工具(jsoup、httpclient)獲取多個路徑下同名Cookie的問題

不知大家遇到類似的問題嗎,希望一起探討。 1、首先第一次訪問http://www.17sct.com/city.php?ename=CHANGZHOU,我們可以看到如下請求: 我們看到 設定了兩個 99a0_city cookie, 值分別為1 和 269;如ch

後臺jAVA 無法清楚cookie,前臺退出cookie還在,需要重新整理

後臺設定域名的問題: 1.一開始設定域名為null 2.後來清楚時候是有了本地的域名比如(172.128.10.117或者localhost)不必配,所以刪除不掉 最好本地開發的時候不用加域名(localhost),因為有的瀏覽器不識別這個域名

java設定cookie,瀏覽器關閉cookie隨即自動清除問題

Cookie cookie = new Cookie(uUserName, uPassword); cookie.setMaxAge(4320 * 60);// 設定為3天 response.addCookie(cookie); 和 Cookie cookie = ne

sanic官方文檔解析之ResponseCookie

讀取 圖片 每一個 HERE .html 信息 c中 edi rec 1,Sanic的返回的響應體 使用Sanic中的response模塊去創建響應對象 返回文本response.text文本(直接字符串就ok) 返回html文件,直接response.htm

android 通過設定cookie解決app 登入WebView還要重新登陸問題

問題描述:因為需要在app里加入html,所以使用了webView,但是第一次進入webview時,需要在webview頁面重新登陸,為了解決這一問題花了大量的時間,所以分享給遇到問題的朋友們。 入下的方法是通過設定cookie來解決 在 webView.l

sessioncookie

客戶端 php 使用 關閉瀏覽器 其它 nbsp 取值 字符 默認 1.session  (1)session存儲在服務器的    (2)session每個人存一份  (3)session有默認的過期時間  (4)session裏面可以存儲任意類型的數據 安全,對服

php中sessioncookie的使用及區別

網上商城 標識 禁止 bsp 身份驗證 main str 什麽 ets 1.cookie的使用 什麽是 Cookie? cookie 常用於識別用戶。cookie 是服務器留在用戶計算機中的小文件。每當相同的計算機通過瀏覽器請求頁面時,它同時會發送 cookie。通過

sessioncookie基本操作

基本 size tco arr 結束 style 服務器 清理 方法 session的作用同cookie一樣: 1.在不同頁面使用同一數組 2.實現驗證碼,用戶跟蹤(個人覺得這個用到的其實還是1中的作用) session相對於cookie更加的安全 先來說一下coo

tp5.31,sessioncookie

作用 分享 logs con 技術分享 coo cnblogs src log 一、session: 1.先再config中打開 前綴即為默認作用域。 tp5.31,session和cookie

sessioncookie區別&它們的用法

購物 執行 aaa 用戶數據 啟動 偽造 對象 fun val (一)、區別1、cookie數據存放在客戶的瀏覽器上,session數據放在服務器上。2、cookie不是很安全,別人可以分析存放在本地的COOKIE並進行COOKIE欺騙 考慮到安全應當使用session

關於Sessioncookie個人見解

是否 第一次 != redirect use p s cookie 超過 讀取 背景:因為HTTP是無狀態的協議,這樣我們無法推斷同一個用戶多次請求時記錄用戶的信息從而須要頻繁的身份校驗,包含開啟多個瀏覽器瀏覽同一個站點依然須要不停的都身份驗證。這樣就產生了sess

APPlication,SessionCookie的區別

www expire 日期 unlock 一段時間 enter 應用程序 ica art 方法 信息量大小 保存時間 應用範圍 保存位置 Application 任意大小 整個應用程序的生命期 所有用戶 服務器端 Se

sessioncookie技術對比

正整數 setvalue 註意 如果 tac 類型 技術 同名 銷毀 Cooke技術 1 特點 Cookie技術:會話數據保存在瀏覽器客戶端。

詳談sessioncookie的區別

由於 整型 其他 缺點 時間 set 註銷 應用程序 存儲結構 一、cookie機制和session機制的區別**********************************************************************************

Session Cookie

連接 無法 程序 響應頭 網站 invalid memcach 打開 發送請求 1. HTTP是無狀態協議?   HTTP無狀態協議,是指協議對於事務處理沒有記憶能力。同一個客戶端的這次請求和上次請求是沒有對應關系,對http服務器來說,它並不知道這兩個請求來自同一個客戶端

[06] Session實現機制以及Cookie的區別

但是 session存儲 請求 pri com 無法 體驗 -c data 1、為什麽有Session和Cookie根據早期的HTTP協議,每次request-reponse時,都要重新建立TCP連接。TCP連接每次都重新建立,所以服務器無法知道上次請求和本次請求是否來自於

sessionStorage 、localStorage cookie 之間的區別

大小 路徑 大小限制 共享 限制 存在 接口 也有 有效期 共同點:都是保存在瀏覽器端,且同源的。 區別: cookie數據始終在同源的http請求中攜帶(即使不需要),即cookie在瀏覽器和服務器間來回傳遞。而sessionStorage和localStorage

PHP中的會話控制—sessioncookie(實現數據傳值功能)

代碼 會有 數據 xmlns code 特點 會話控制 pre color 1.session 登錄上一個頁面以後,長時間沒有操作,刷新頁面以後需要重新登錄。 特點:(1)session是存儲在服務器;    (2)session每個人(登陸者)存一份;    (3)

SessionCookie總結

.cn 流程 src () 信息 選擇 cookie 查找 導致 一.Session和Cookie   1.Cookie    1.cookie創建於服務器,保存於瀏覽器,保存了特定網站操作記錄和資料憑證的信息。     2.未設置cookie期限的時候,默認是關閉瀏覽器後