摘要:如果請(qǐng)求中沒有�����,這兩個(gè)對(duì)象都是空的�����。簽名簽名更適合敏感數(shù)據(jù)��,因?yàn)橛盟梢则?yàn)證數(shù)據(jù)的完整性���,有助于防止中間人攻擊。有效的簽名放在對(duì)象中���。如果這個(gè)簽名的值被篡改�,那么服務(wù)器上對(duì)的解簽會(huì)失敗,在中輸出的將為���。
為什么需要cookie
我們知道http是無狀態(tài)的協(xié)議���,無狀態(tài)是什么意思呢?
我來舉一個(gè)小例子來說明:比如小明在網(wǎng)上購物�,他瀏覽了多個(gè)頁面,購買了一些物品���,這些請(qǐng)求在多次連接中完成���,如果不借助額外的手段,那么服務(wù)器是不知道他到底購買了什么的����,因?yàn)榉?wù)器壓根就不知道每次請(qǐng)求的到底是不是小明,除非小明有一個(gè)標(biāo)識(shí)來證明他是小明�。
所以,網(wǎng)站為了辨別用戶身份���,進(jìn)行 session 跟蹤�,cookie出現(xiàn)了����。
cookie是什么
簡單來說���,cookie就是標(biāo)識(shí)。
嚴(yán)格來說�,cookie是一些存儲(chǔ)在客戶端的信息,每次連接的時(shí)候由瀏覽器向服務(wù)器遞交�,服務(wù)器也向?yàn)g覽器發(fā)起存儲(chǔ) Cookie 的請(qǐng)求,依靠這樣的手段�,服務(wù)器可以識(shí)別客戶端。
具體來說���,瀏覽器首次向服務(wù)器發(fā)起請(qǐng)求時(shí)���,服務(wù)器會(huì)生成一個(gè)唯一標(biāo)識(shí)符并發(fā)送給客戶端瀏覽器,瀏覽器將這個(gè)唯一標(biāo)識(shí)符存儲(chǔ)在 Cookie 中�,之后每次發(fā)起的請(qǐng)求中,客戶端瀏覽器都會(huì)向服務(wù)器傳送這個(gè)唯一標(biāo)識(shí)符����,服務(wù)器通過這個(gè)唯一標(biāo)識(shí)符來識(shí)別用戶����。
說了這么多��,打開瀏覽器�,我們先來看看這貨吧�����。
上圖中�,就是瀏覽器中存的一個(gè)cookie,他的名字叫name�,值為abc。
常規(guī)cookie
光看不過癮�����,接下來�����,用node動(dòng)手來做一個(gè)常規(guī)cookie吧���。
首先��,安裝express框架和cookieParser中間件
npm i express --save
npm install cookie-parser --save
cookieParser中間件的主要用途如下:
解析來自瀏覽器的cookie�����,放到req.cookies中��;
針對(duì)簽名cookie�,對(duì)cookie簽名和解簽
代碼如下:
var express = require("express");
var cookieParser = require("cookie-parser");
var app = express();
app.use(cookieParser());
app.use(function (req, res) {
if (req.url === "/favicon.ico") {
return
}
// 設(shè)置常規(guī)cookie, 有效期為20s, 客戶端腳本不能訪問它的值
res.cookie("name", "abc", { signed: false, maxAge: 20 * 1000, httpOnly: true });
console.log(req.cookies, req.url, req.signedCookies);
res.end("hello cookie");
})
app.listen(4000)
運(yùn)行后,在瀏覽器中打開 http://localhost:4000/
以chrome為例�����,f12打開瀏覽器調(diào)試工具�,在application中的cookies中便能發(fā)現(xiàn)你定義的cookie。
req.cookies和req.signedCookies屬性是隨http請(qǐng)求發(fā)送過來的請(qǐng)求頭中的Cookie的解析結(jié)果���。
其中����,req.cookies對(duì)應(yīng)的是普通cookie��,req.signedCookies對(duì)應(yīng)的是簽名cookie�����。
如果請(qǐng)求中沒有cookie���,這兩個(gè)對(duì)象都是空的���。
簽名cookie
簽名cookie更適合敏感數(shù)據(jù),因?yàn)橛盟梢则?yàn)證cookie數(shù)據(jù)的完整性��,有助于防止中間人攻擊�。
有效的簽名cookie放在req.signedCookies對(duì)象中。
代碼如下:
var express = require("express");
var cookieParser = require("cookie-parser");
var app = express();
// 設(shè)置密鑰�,用來對(duì)cookie簽名和解簽, Express可以由此確定cookie的內(nèi)容是否被篡改過
app.use(cookieParser("a cool secret"));
app.use(function (req, res) {
if (req.url === "/favicon.ico") {
return
}
// 設(shè)置簽名cookie, 并且有效期為1min
res.cookie("name", "efg", { signed: true, maxAge: 60 * 1000, httpOnly: true });
console.log(req.cookies, req.url, req.signedCookies);
res.end("signed cookie");
})
app.listen(4000)
運(yùn)行后,在瀏覽器中打開 http://localhost:4000/
以chrome為例���,f12打開瀏覽器調(diào)試工具��,在application中的cookies中便能發(fā)現(xiàn)你定義的簽名cookie��,格式如下:s%3Aefg.7FJDuO2E9LMyby6%2Bo1fGQ3wkIHGB9v1CDVWod8NQVAo
.號(hào)左邊是cookie的值����,右邊是服務(wù)器上用SHA-1 HMAC生成的加密哈希值�����。
如果這個(gè)簽名cookie的值被篡改����,那么服務(wù)器上對(duì)cookie的解簽會(huì)失敗��,在node中輸出的req.signedCookies將為false���。如下:
而如果cookie完好無損地傳上來,那么將會(huì)被正確解析:
總結(jié)
你可以在cookie中存放任意類型的文本數(shù)據(jù)�����,但通常是在客戶端存放一個(gè)會(huì)話cookie��,這樣你就能在服務(wù)器端保留完整的用戶狀態(tài)�����。
這項(xiàng)會(huì)話技術(shù)封裝在session中間件中���,下一篇我將對(duì)express-session中間件進(jìn)行介紹和說明���,感謝您的閱讀,
文章版權(quán)歸作者所有�����,未經(jīng)允許請(qǐng)勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除�����。
轉(zhuǎn)載請(qǐng)注明本文地址:http://m.hztianpu.com/yun/97708.html
