mir*_*r06 5 web-development-server node.js express
我试图了解快速会话中“秘密”选项的功能和相关性。
我已经尝试在网上浏览一些与此相关的信息,但找不到任何实质性内容。
这是我在 npm express-session 包页面上找到的:secret
必选选项
这是用于签署会话 ID cookie 的秘密。这可以是单个秘密的字符串,也可以是多个秘密的数组。如果提供了一组密钥,则仅使用第一个元素对会话 ID cookie 进行签名,而在验证请求中的签名时将考虑所有元素。
我不明白 Secret 到底是如何完成对会话 ID cookie 进行签名的。这个必需的功能到底是如何在幕后实现的?
小智 4
在幕后express-session使用另一个模块来执行cookie-signature 此处的签名链接。这是一个非常小的实现,您可以查找。
本质上,您正在创建一个设置为 cookie 值的哈希值。该散列本身就是我们设置到 cookie 中的数据的表示。
如果你看一下 的实现express-session,它使用 cookie 名称,如下所示:
// get the session cookie name
var name = opts.name || opts.key || 'connect.sid'
Run Code Online (Sandbox Code Playgroud)
并通过设置cookie
function setcookie(res, name, val, secret, options) {
var signed = 's:' + signature.sign(val, secret);
var data = cookie.serialize(name, signed, options);
debug('set-cookie %s', data);
var prev = res.getHeader('set-cookie') || [];
var header = Array.isArray(prev) ? prev.concat(data) : [prev, data];
res.setHeader('set-cookie', header)
}
Run Code Online (Sandbox Code Playgroud)
会话可以包含敏感数据,因此 cookie 值可以安全地存储为哈希值。
例如:会话(用户)除了在服务器上进行身份验证外,他们还拥有外部 Microsoft ActiveDirectory 上的资源。登录时,将 AC 用户名和密码(可能与您自己的服务器用户名和密码不同)设置为 cookie 并进行哈希处理。
注意:如果数据是object,JSON.stringify(object)
这样用户就可以通过您的服务器安全地访问他们的AC资源。您的开发流程变得更加容易。
req.session // {AcUsername: 'myAccUser', AcPass: 'myAccPass'}
Run Code Online (Sandbox Code Playgroud)
希望这可以帮助。
| 归档时间: |
|
| 查看次数: |
3613 次 |
| 最近记录: |