这是一个经典的故事,如果它没有破坏,就不要修理它"
我使用Node.js创建了一个相对简单的HTTP请求处理程序。我通过将请求正文的SHA-1与作为请求标头的签名进行匹配来验证请求:
var http = require('http');
var crypto = require('crypto');
var secret = process.env.MY_SECRET;
var requestListener = function(req, res) {
if (req.method === 'POST') {
var body = '';
req.on('data', function(data) {
body += data;
});
req.on('end', function() {
var signature = req.headers['x-signature'];
var hash = crypto.createHmac('sha1', secret)
.update(body)
.digest('hex')
.toUpperCase();
if (signature === hash) {
// request is authorized
}
});
}
};
var server = http.createServer(requestListener);
server.listen(3000);
这很好用,除了一切都很难看,还有Express.js的其他功能我想要实现。我重写了以下代码:
var crypto = require('crypto');
var express = require('express');
var app = express();
var secret = process.env.MY_SECRET;
app.use(function(req, res, next) {
var signature = req.get('x-signature');
var hash = crypto.createHmac('sha1', secret)
.update(req.body)
.digest('hex')
.toUpperCase();
if (signature === hash) {
next();
} else {
// unauthorized
}
});
app.post('/', function(req, res) {
// request is authorized
});
app.listen(3000);
当然,加密方法不会运行,因为req.body现在既不是字符串也不是缓冲区。但是我该如何解决这个问题?
我包含了一些中间件:
app.use(bodyParser.json());
然后使用JSON.stringify将结果转换为字符串。这允许加密方法运行,但是哈希和签名不匹配!
当使用像body-parser这样的中间件时,Express是否可能对请求体做其他事情?这对我没有任何意义,但也许我错过了一些东西。
答案 0 :(得分:2)
带有正文解析器
var options = {
inflate: true,
limit: '100kb',
type: 'application/octet-stream'
};
app.use(bodyParser.raw(options));
然后您就可以使用
app.post(routeName, (req, res) => {
let body = '';
req.on('data', (data) => {
body += data;
console.log(data)
});
req.on('end', () => {
fs.appendFile(`./${fileName}.log`, '\n' + body, (err) => {
if (err) throw err;
});
});
res.end();
})
答案 1 :(得分:0)
你在POST请求的正文中发送了什么?
我已使用您的算法对此字符串nodejs进行了签名,结果为:92FCFCFBCDB06B40F76FEE4E6271EFC2554290FD
然后我使用curl使用服务器:
curl --header "x-signature: 92FCFCFBCDB06B40F76FEE4E6271EFC2554290FD" --data "something=nodejs" http://localhost:4040
这是我的服务器文件:
var express = require('express');
var app = express();
var bodyParser = require('body-parser');
var secret = 'something';
var crypto = require('crypto');
app.use(bodyParser.json());
app.use(bodyParser.urlencoded({extended: true}));
app.use(function(req, res, next) {
var signature = req.get('x-signature');
var hash = crypto
.createHmac('sha1', secret)
.update(req.body.something)
.digest('hex')
.toUpperCase();
if (signature === hash) {
next();
} else {
res.send('you do not have permission');
}
});
app.post('/', function(req, res) {
res.send('hey');
});
app.listen(4040, function() {
console.log('server up and running at 4040 port');
});
如果签名无效,您将看到一条消息:you do not have permission但如果您发送了有效签名,则可以使用POST路由/。
答案 2 :(得分:0)
找到解决方案。我刚刚创建了一个自定义的主体解析器。
function(req, res, next) {
req.setEncoding('utf8');
req.rawBody = '';
req.on('data', function(chunk) {
req.rawBody += chunk;
});
req.on('end', function(){
next();
});
}
我仍然不明白为什么bodyParser.text()的工作方式不一样!