摘要:如果請求中沒有,這兩個對象都是空的���。簽名簽名更適合敏感數(shù)據(jù)�,因為用它可以驗證數(shù)據(jù)的完整性�,有助于防止中間人攻擊。有效的簽名放在對象中�。如果這個簽名的值被篡改,那么服務(wù)器上對的解簽會失敗�,在中輸出的將為。
為什么需要cookie
我們知道http是無狀態(tài)的協(xié)議����,無狀態(tài)是什么意思呢?
我來舉一個小例子來說明:比如小明在網(wǎng)上購物����,他瀏覽了多個頁面��,購買了一些物品��,這些請求在多次連接中完成�����,如果不借助額外的手段��,那么服務(wù)器是不知道他到底購買了什么的����,因為服務(wù)器壓根就不知道每次請求的到底是不是小明�����,除非小明有一個標識來證明他是小明��。
所以�����,網(wǎng)站為了辨別用戶身份,進行 session 跟蹤�,cookie出現(xiàn)了�����。
cookie是什么
簡單來說�,cookie就是標識。
嚴格來說��,cookie是一些存儲在客戶端的信息����,每次連接的時候由瀏覽器向服務(wù)器遞交,服務(wù)器也向瀏覽器發(fā)起存儲 Cookie 的請求���,依靠這樣的手段�,服務(wù)器可以識別客戶端���。
具體來說���,瀏覽器首次向服務(wù)器發(fā)起請求時,服務(wù)器會生成一個唯一標識符并發(fā)送給客戶端瀏覽器�,瀏覽器將這個唯一標識符存儲在 Cookie 中,之后每次發(fā)起的請求中,客戶端瀏覽器都會向服務(wù)器傳送這個唯一標識符��,服務(wù)器通過這個唯一標識符來識別用戶��。
說了這么多��,打開瀏覽器����,我們先來看看這貨吧。
上圖中�����,就是瀏覽器中存的一個cookie�,他的名字叫name,值為abc���。
常規(guī)cookie
光看不過癮��,接下來��,用node動手來做一個常規(guī)cookie吧�。
首先����,安裝express框架和cookieParser中間件
npm i express --save
npm install cookie-parser --save
cookieParser中間件的主要用途如下:
解析來自瀏覽器的cookie�,放到req.cookies中�����;
針對簽名cookie��,對cookie簽名和解簽
代碼如下:
var express = require("express");
var cookieParser = require("cookie-parser");
var app = express();
app.use(cookieParser());
app.use(function (req, res) {
if (req.url === "/favicon.ico") {
return
}
// 設(shè)置常規(guī)cookie, 有效期為20s, 客戶端腳本不能訪問它的值
res.cookie("name", "abc", { signed: false, maxAge: 20 * 1000, httpOnly: true });
console.log(req.cookies, req.url, req.signedCookies);
res.end("hello cookie");
})
app.listen(4000)
運行后�����,在瀏覽器中打開 http://localhost:4000/
以chrome為例�,f12打開瀏覽器調(diào)試工具����,在application中的cookies中便能發(fā)現(xiàn)你定義的cookie。
req.cookies和req.signedCookies屬性是隨http請求發(fā)送過來的請求頭中的Cookie的解析結(jié)果����。
其中,req.cookies對應(yīng)的是普通cookie���,req.signedCookies對應(yīng)的是簽名cookie��。
如果請求中沒有cookie�,這兩個對象都是空的。
簽名cookie
簽名cookie更適合敏感數(shù)據(jù)��,因為用它可以驗證cookie數(shù)據(jù)的完整性�,有助于防止中間人攻擊。
有效的簽名cookie放在req.signedCookies對象中���。
代碼如下:
var express = require("express");
var cookieParser = require("cookie-parser");
var app = express();
// 設(shè)置密鑰�,用來對cookie簽名和解簽, Express可以由此確定cookie的內(nèi)容是否被篡改過
app.use(cookieParser("a cool secret"));
app.use(function (req, res) {
if (req.url === "/favicon.ico") {
return
}
// 設(shè)置簽名cookie, 并且有效期為1min
res.cookie("name", "efg", { signed: true, maxAge: 60 * 1000, httpOnly: true });
console.log(req.cookies, req.url, req.signedCookies);
res.end("signed cookie");
})
app.listen(4000)
運行后���,在瀏覽器中打開 http://localhost:4000/
以chrome為例�����,f12打開瀏覽器調(diào)試工具����,在application中的cookies中便能發(fā)現(xiàn)你定義的簽名cookie���,格式如下:s%3Aefg.7FJDuO2E9LMyby6%2Bo1fGQ3wkIHGB9v1CDVWod8NQVAo
.號左邊是cookie的值����,右邊是服務(wù)器上用SHA-1 HMAC生成的加密哈希值。
如果這個簽名cookie的值被篡改����,那么服務(wù)器上對cookie的解簽會失敗,在node中輸出的req.signedCookies將為false���。如下:
而如果cookie完好無損地傳上來���,那么將會被正確解析:
總結(jié)
你可以在cookie中存放任意類型的文本數(shù)據(jù)�����,但通常是在客戶端存放一個會話cookie��,這樣你就能在服務(wù)器端保留完整的用戶狀態(tài)�����。
這項會話技術(shù)封裝在session中間件中�����,下一篇我將對express-session中間件進行介紹和說明��,感謝您的閱讀,
文章版權(quán)歸作者所有���,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/97708.html
