摘要:如果請(qǐng)求中沒(méi)有�����,這兩個(gè)對(duì)象都是空的�����。簽名簽名更適合敏感數(shù)據(jù)�����,因?yàn)橛盟梢则?yàn)證數(shù)據(jù)的完整性�,有助于防止中間人攻擊。有效的簽名放在對(duì)象中�。如果這個(gè)簽名的值被篡改,那么服務(wù)器上對(duì)的解簽會(huì)失敗�����,在中輸出的將為���。
為什么需要cookie
我們知道http是無(wú)狀態(tài)的協(xié)議�,無(wú)狀態(tài)是什么意思呢?
我來(lái)舉一個(gè)小例子來(lái)說(shuō)明:比如小明在網(wǎng)上購(gòu)物��,他瀏覽了多個(gè)頁(yè)面���,購(gòu)買(mǎi)了一些物品�,這些請(qǐng)求在多次連接中完成��,如果不借助額外的手段�,那么服務(wù)器是不知道他到底購(gòu)買(mǎi)了什么的,因?yàn)榉?wù)器壓根就不知道每次請(qǐng)求的到底是不是小明��,除非小明有一個(gè)標(biāo)識(shí)來(lái)證明他是小明����。
所以����,網(wǎng)站為了辨別用戶身份,進(jìn)行 session 跟蹤����,cookie出現(xiàn)了。
cookie是什么
簡(jiǎn)單來(lái)說(shuō)�,cookie就是標(biāo)識(shí)�����。
嚴(yán)格來(lái)說(shuō)���,cookie是一些存儲(chǔ)在客戶端的信息,每次連接的時(shí)候由瀏覽器向服務(wù)器遞交���,服務(wù)器也向?yàn)g覽器發(fā)起存儲(chǔ) Cookie 的請(qǐng)求�,依靠這樣的手段�,服務(wù)器可以識(shí)別客戶端。
具體來(lái)說(shuō)�,瀏覽器首次向服務(wù)器發(fā)起請(qǐng)求時(shí),服務(wù)器會(huì)生成一個(gè)唯一標(biāo)識(shí)符并發(fā)送給客戶端瀏覽器��,瀏覽器將這個(gè)唯一標(biāo)識(shí)符存儲(chǔ)在 Cookie 中����,之后每次發(fā)起的請(qǐng)求中,客戶端瀏覽器都會(huì)向服務(wù)器傳送這個(gè)唯一標(biāo)識(shí)符�,服務(wù)器通過(guò)這個(gè)唯一標(biāo)識(shí)符來(lái)識(shí)別用戶。
說(shuō)了這么多�,打開(kāi)瀏覽器,我們先來(lái)看看這貨吧��。
上圖中,就是瀏覽器中存的一個(gè)cookie����,他的名字叫name,值為abc�。
常規(guī)cookie
光看不過(guò)癮,接下來(lái)�,用node動(dòng)手來(lái)做一個(gè)常規(guī)cookie吧。
首先�����,安裝express框架和cookieParser中間件
npm i express --save
npm install cookie-parser --save
cookieParser中間件的主要用途如下:
解析來(lái)自瀏覽器的cookie�����,放到req.cookies中�;
針對(duì)簽名cookie,對(duì)cookie簽名和解簽
代碼如下:
var express = require("express");
var cookieParser = require("cookie-parser");
var app = express();
app.use(cookieParser());
app.use(function (req, res) {
if (req.url === "/favicon.ico") {
return
}
// 設(shè)置常規(guī)cookie, 有效期為20s, 客戶端腳本不能訪問(wèn)它的值
res.cookie("name", "abc", { signed: false, maxAge: 20 * 1000, httpOnly: true });
console.log(req.cookies, req.url, req.signedCookies);
res.end("hello cookie");
})
app.listen(4000)
運(yùn)行后����,在瀏覽器中打開(kāi) http://localhost:4000/
以chrome為例��,f12打開(kāi)瀏覽器調(diào)試工具���,在application中的cookies中便能發(fā)現(xiàn)你定義的cookie��。
req.cookies和req.signedCookies屬性是隨http請(qǐng)求發(fā)送過(guò)來(lái)的請(qǐng)求頭中的Cookie的解析結(jié)果����。
其中,req.cookies對(duì)應(yīng)的是普通cookie����,req.signedCookies對(duì)應(yīng)的是簽名cookie。
如果請(qǐng)求中沒(méi)有cookie���,這兩個(gè)對(duì)象都是空的����。
簽名cookie
簽名cookie更適合敏感數(shù)據(jù)��,因?yàn)橛盟梢则?yàn)證cookie數(shù)據(jù)的完整性��,有助于防止中間人攻擊����。
有效的簽名cookie放在req.signedCookies對(duì)象中。
代碼如下:
var express = require("express");
var cookieParser = require("cookie-parser");
var app = express();
// 設(shè)置密鑰��,用來(lái)對(duì)cookie簽名和解簽, Express可以由此確定cookie的內(nèi)容是否被篡改過(guò)
app.use(cookieParser("a cool secret"));
app.use(function (req, res) {
if (req.url === "/favicon.ico") {
return
}
// 設(shè)置簽名cookie, 并且有效期為1min
res.cookie("name", "efg", { signed: true, maxAge: 60 * 1000, httpOnly: true });
console.log(req.cookies, req.url, req.signedCookies);
res.end("signed cookie");
})
app.listen(4000)
運(yùn)行后,在瀏覽器中打開(kāi) http://localhost:4000/
以chrome為例�,f12打開(kāi)瀏覽器調(diào)試工具,在application中的cookies中便能發(fā)現(xiàn)你定義的簽名cookie����,格式如下:s%3Aefg.7FJDuO2E9LMyby6%2Bo1fGQ3wkIHGB9v1CDVWod8NQVAo
.號(hào)左邊是cookie的值,右邊是服務(wù)器上用SHA-1 HMAC生成的加密哈希值���。
如果這個(gè)簽名cookie的值被篡改�,那么服務(wù)器上對(duì)cookie的解簽會(huì)失敗��,在node中輸出的req.signedCookies將為false����。如下:
而如果cookie完好無(wú)損地傳上來(lái),那么將會(huì)被正確解析:
總結(jié)
你可以在cookie中存放任意類型的文本數(shù)據(jù)���,但通常是在客戶端存放一個(gè)會(huì)話cookie�����,這樣你就能在服務(wù)器端保留完整的用戶狀態(tài)���。
這項(xiàng)會(huì)話技術(shù)封裝在session中間件中,下一篇我將對(duì)express-session中間件進(jìn)行介紹和說(shuō)明��,感謝您的閱讀�����,
文章版權(quán)歸作者所有���,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請(qǐng)注明本文地址:http://www.ezyhdfw.cn/yun/97708.html
