Express-Session 中“秘密”选项的核心功能是什么?

mir*_*r06 5 web-development-server node.js express

我试图了解快速会话中“秘密”选项的功能和相关性。

我已经尝试在网上浏览一些与此相关的信息,但找不到任何实质性内容。

这是我在 npm express-session 包页面上找到的:secret

必选选项

这是用于签署会话 ID cookie 的秘密。这可以是单个秘密的字符串,也可以是多个秘密的数组。如果提供了一组密钥,则仅使用第一个元素对会话 ID cookie 进行签名,而在验证请求中的签名时将考虑所有元素。

我不明白 Secret 到底是如何完成对会话 ID cookie 进行签名的。这个必需的功能到底是如何在幕后实现的?

小智 4

在幕后express-session使用另一个模块来执行cookie-signature 此处的签名链接。这是一个非常小的实现,您可以查找。

本质上,您正在创建一个设置为 cookie 值的哈希值。该散列本身就是我们设置到 cookie 中的数据的表示。

如果你看一下 的实现express-session,它使用 cookie 名称,如下所示:

// get the session cookie name
  var name = opts.name || opts.key || 'connect.sid'
Run Code Online (Sandbox Code Playgroud)

并通过设置cookie

function setcookie(res, name, val, secret, options) {
  var signed = 's:' + signature.sign(val, secret);
  var data = cookie.serialize(name, signed, options);

  debug('set-cookie %s', data);

  var prev = res.getHeader('set-cookie') || [];
  var header = Array.isArray(prev) ? prev.concat(data) : [prev, data];

  res.setHeader('set-cookie', header)
}
Run Code Online (Sandbox Code Playgroud)

但为什么?

会话可以包含敏感数据,因此 cookie 值可以安全地存储为哈希值。

例如:会话(用户)除了在服务器上进行身份验证外,他们还拥有外部 Microsoft ActiveDirectory 上的资源。登录时,将 AC 用户名和密码(可能与您自己的服务器用户名和密码不同)设置为 cookie 并进行哈希处理。

注意:如果数据是objectJSON.stringify(object)

这样用户就可以通过您的服务器安全地访问他们的AC资源。您的开发流程变得更加容易。

req.session // {AcUsername: 'myAccUser', AcPass: 'myAccPass'}
Run Code Online (Sandbox Code Playgroud)

希望这可以帮助。