文章導(dǎo)讀

cookie-parser 是Express的中間件，用來(lái)實(shí)現(xiàn)cookie的解析，是官方腳手架內(nèi)置的中間件之一。

它的使用非常簡(jiǎn)單，但在使用過(guò)程中偶爾也會(huì)遇到問(wèn)題。一般都是因?yàn)閷?duì) Express + cookie-parser 的簽名、驗(yàn)證機(jī)制不了解導(dǎo)致的。

本文深入講解 Express + cookie-parser 的簽名和驗(yàn)證的實(shí)現(xiàn)機(jī)制，以及cookie簽名是如何增強(qiáng)網(wǎng)站的安全性的。

文本同步收錄于GitHub主題系列 《Nodejs學(xué)習(xí)筆記》

入門(mén)例子：cookie設(shè)置與解析

先從最簡(jiǎn)單的例子來(lái)看下 cookie-parser 的使用，這里采用默認(rèn)配置。

cookie設(shè)置：使用 Express 的內(nèi)置方法 res.cookie() 。 cookie解析：使用 cookie-parser 中間件。

var express = require('express');var cookieParser = require('cookie-parser');var app = express();app.use(cookieParser());app.use(function (req, res, next) { console.log(req.cookies.nick); // 第二次訪問(wèn)，輸出chyingp next();});app.use(function (req, res, next) {  res.cookie('nick', 'chyingp'); res.end('ok');});app.listen(3000);

在當(dāng)前場(chǎng)景下， cookie-parser 中間件大致實(shí)現(xiàn)如下：

app.use(function (req, res, next) { req.cookies = cookie.parse(req.headers.cookie); next();});

進(jìn)階例子：cookie簽名與解析

出于安全的考慮，我們通常需要對(duì)cookie進(jìn)行簽名。

例子改寫(xiě)如下，有幾個(gè)注意點(diǎn)：

cookieParser 初始化時(shí)，傳入 secret 作為簽名的秘鑰。 設(shè)置cookie時(shí)，將 signed 設(shè)置為 true ，表示對(duì)即將設(shè)置的cookie進(jìn)行簽名。 獲取cookie時(shí)，可以通過(guò) req.cookies ，也可以通過(guò) req.signedCookies 獲取。

var express = require('express');var cookieParser = require('cookie-parser');var app = express();// 初始化中間件，傳入的第一個(gè)參數(shù)為singed secretapp.use(cookieParser('secret'));app.use(function (req, res, next) { console.log(req.cookies.nick); // chyingp console.log(req.signedCookies.nick); // chyingp next();});app.use(function (req, res, next) {  // 傳入第三個(gè)參數(shù) {signed: true}，表示要對(duì)cookie進(jìn)行摘要計(jì)算 res.cookie('nick', 'chyingp', {signed: true}); res.end('ok');});app.listen(3000);

簽名前的cookie值為 chyingp ，簽名后的cookie值為 s%3Achyingp.uVofnk6k%2B9mHQpdPlQeOfjM8B5oa6mppny9d%2BmG9rD0 ，decode后為 s:chyingp.uVofnk6k+9mHQpdPlQeOfjM8B5oa6mppny9d+mG9rD0 。

下面就來(lái)分析下，cookie的簽名、解析是如何實(shí)現(xiàn)的。

cookie簽名、驗(yàn)證實(shí)現(xiàn)剖析

Express完成cookie值的簽名， cookie-parser 實(shí)現(xiàn)簽名cookie的解析。兩者共用同一個(gè)秘鑰。

cookie簽名

Express對(duì)cookie的設(shè)置（包括簽名），都是通過(guò) res.cookie() 這個(gè)方法實(shí)現(xiàn)的。

精簡(jiǎn)后的代碼如下：

res.cookie = function (name, value, options) {  var secret = this.req.secret; var signed = opts.signed; // 如果 options.signed 為true，則對(duì)cookie進(jìn)行簽名 if (signed) {  val = 's:' + sign(val, secret); } this.append('Set-Cookie', cookie.serialize(name, String(val), opts)); return this;};