一、关于cookie加密

cookie加密是让客户端无法获取cookie明文信息,是数据安全的重要部分;一般的我们可以在保存cookie前,先前cookie信息进行加密,或者在res.cookie设置cookie时对option配置对象的signed属性设置成true也可以实现。

二、配置 signed 属性加密

在设置中间件时传入参数‘secret’字符串

  1. //不使用加密时
  2. //app.use(cookieParser()) 
  4. //使用加密时,传入加密字符串
  5. app.use(cookieParser('ByCXyqxH'))

设置cookie时在配置参数对象中添加signed属性

  1. let option = {
  2.                           maxAge:30*60*1000,
  3.                           signed:true
  4.                         }
  5. res.cookie('token',token,option)

获取加密的token

  1. //未使用signed时
  2. //req.cookies.token
  4. //使用signed后
  5. req.signedCookies.token;

完整案例:
对token 字符串 318514ae-83b9-47ab-947a-86f828b391e9 加密

  1. var express = require('express');
  2. var app = express();
  3. var cookieParser = require('cookie-parser')
  5. //添加自定义的加密字符串 ‘ByCXyqxH’,
  6. app.use(cookieParser('ByCXyqxH'))
  8. app.get('/set',(req,res,next)=>{
  9.   let token = '318514ae-83b9-47ab-947a-86f828b391e9';
  10.   //添加signed属性
  11.   let option = {
  12.     maxAge:30*60*1000,
  13.     signed:true
  14.   }
  15. res.cookie('token',token,option)
  16.   res.send('success')
  17. })
  20. app.get('/get',(req,res,next)=>{
  21.   //获取加密的cookie
  22.   let token = req.signedCookies.token;
  23.   console.log(token)
  24.   res.send("token:" + (token || 'null'))
  25. })
  27. module.exports = app;

image.png

签名原理
Express用于对cookie签名,而cookie-parser则是实现对签名的解析。实质是把cookie设置的值和cookieParser(‘ByCXyqxH’)中的ByCXyqxH进行hmac加密之后和cookie值加“.”的方式拼接起来(注意观察加密后的字符串中间有个“.”)。
当option中signed设置为true后,底层会将cookie的值与“secret”进行hmac加密;

如何解析
cookie-parser中间件在解析签名cookie时做了两件事:

  1. 将签名cookie对应的原始值提取出来
  2. 验证签名cookie是否合法

三、直接对cookie值加密

node为我们提供了一个核心安全模块“crypto”,它提供了很多安全相关的功能,如摘要运算、加密、电子签名等。
我们可以使用crypto模块轻易的封装一个加密函数或加密模块:

封闭加密函数

  1. //引入crypto模块
  2. var crypto = require('crypto');
  4. //加密盐值
  5. const md5_salt = "ByCXyqxH";
  7. //MD5加密
  8. function md5(str){
  9.   let obj = crypto.createHash('md5');
  10.   obj.update(str + md5_salt);
  11.   return obj.digest('hex');
  12. }

或者封闭为一个模块md5.js,在使用的地方进行引入

  1. //引入crypto模块
  2. var crypto = require('crypto');
  4. //加密盐值
  5. const md5_salt = "ByCXyqxH";
  7. //MD5加密
  8. function md5(str){
  9.   let obj = crypto.createHash('md5');
  10.   obj.update(str + md5_salt);
  11.   return obj.digest('hex');
  12. }
  14. module.exports = {md5:md5};

引入封装的md5模块

  1. var md5 = require('./md5');

完整案例:

  1. var express = require('express');
  2. var crypto = require('crypto');
  3. var app = express();
  4. var cookieParser = require('cookie-parser')
  6. app.use(cookieParser())
  8. //加密盐值
  9. const md5_salt = "ByCXyqxH";
  11. //封装加密函数
  12. function md5(str){
  13.   let obj = crypto.createHash('md5');
  14.   obj.update(str + md5_salt);
  15.   return obj.digest('hex');
  16. }
  18. var token = '318514ae-83b9-47ab-947a-86f828b391e9';
  20. app.get('/set',(req,res,next)=>{
  21.   //对token进行加密
  22.   let signedToken = md5(token);
  23.   //将加密的token设置到cookie中
  24.   res.cookie('token',signedToken,{maxAge:30*60*1000})
  25.   res.send('success:' + token)
  26. })
  28. //验证token
  29. app.get('/verify',(req,res,next)=>{
  30.   //将服务端保存的token进行加密 再与 获取的cookie中加密后的token进行比较
  31.   let cookieToken = req.cookies.token;
  32.   console.log("cookieToken:" + cookieToken)
  33.   let signedToken = md5(token);
  34.   console.log("signedToken:" + signedToken)
  35.   if(cookieToken === signedToken){
  36.     res.send("eq:" + true)
  37.   }else{
  38.     res.send("eq:" + false)
  39.   }
  40. })
  42. module.exports = app;

image.png
如果是在校验登录密码时,只需将用户输入的密码进行同样加密操作再进行比较即可知道密码是否正确

crypto所涉及的加密方式有很多,建议将加密函数封装为一个模块,便于后期维护