转载

在Node应用中实施Web认证的四大方法

本文翻译自RisingStack 网站Gergely Nemeth撰写的《 Web Authentication Methods Explained 》一文，感谢景庄对该文章的翻译。

安全问题正成为Web应用越来越值得关注的问题。在这之前，我们已经讨论了 Node.js的安全问题列表。为了更深入地探讨此类问题，本文将具体谈一谈有关Cookie、Token、以及其他Web认证方法。本文将从最简单的HTTP基本认证开始谈起，进而会讨论Cookie、Token、签名，以及一次性密码结束。

HTTP基本认证

HTTP基本认证是最简单的一种Web认证方法，它通过在构造请求时提供用户名和密码的方式来提供认证。

之所以说HTTP基本认证是最简单的方法，是因为它不许要借组诸如Cookie，Session，或者其他数据。如果要使用HTTP基本认证，客户端必须对于每一个构造的请求都要增加Authorization请求头。用户名和密码可以不加密，但需要按照如下方法进行构造：

用户名和密码需要拼接为单个字符串，格式为：username:password。
字符串需要使用Base64进行编码。
在编码的值之前需要使用Basic作为关键字。

举个简单的例子，假如某个用户的用户名为john，密码为secret：

curl --header "Authorization: Basic am9objpzZWNyZXQ=" my-website.com

你可以在Chrome中看到类似的信息：

在Node应用中实施Web认证的四大方法

在Node.js中实现 HTTP基本认证 非常的简单，下面的代码片段展示了如何在Express中使用中间件的方式来实现HTTP基本认证：

import basicAusth from 'basicAuth';  function unauthorized(res) {     res.set('WWW-Authenticate', 'Basic realm=Authorization Required');     return res.send(401); }    export default function auth(req, res, next) {     const {name, pass} = basicAuth(req) || {};     if (!name || !pass) {         return unauthorized(res);     }     if (name === 'john' && pass === 'secret') {         return next();      }     return unauthorized(res); }

当然，你可以在更高层达到这个目的，例如在 nginx 中进行配置。

缺点

这看起来很简单是不是？那么HTTP基本认证的缺点是什么呢？如下：

每个请求都需要附加用户名和密码后进行发送，即使在使用安全连接的情况下，也会有数据泄漏的可能性。
联系到SSL/TLS，如果网站使用的较弱加密方法，或者某个攻击者破解了它，那么用户名和密码会立即被暴露。
使用HTTP基本认证无法注销用户的登录状态
证书不会过期——你必须要求用户自己来更改密码来达到这一目的

Cookie

对于服务器而言，当它需要对接收到的HTTP请求进行响应时，可以在响应头中添加Set-Cookie头。浏览器会将该信息存放到一个Cookie容器中，如果设置在CookieHTTP头中的请求源相同的话，那么每次请求都会附带有该Cookie信息。

可以使用Cookie来实现认证，但关键的准则需要遵守：

1. 始终使用HttpOnly Cookies

为了尽可能的避免XSS工具，在设置Cookie时需要始终使用HttpOnly标记。通过这种方式，Cookie将不会在客户端调用document.cookies中显示出来。

2. 始终使用被签名的Cookie (signed cookies)

通过使用签名的Cookie，可以在服务器端检测Cookie是否在客户端被修改过。

我们这个也可以在Chrome中查看到到这个信息。首先让我们来看看服务器中是如何设置Cookie的：

在Node应用中实施Web认证的四大方法

这之后，所有的请求都使用为指定域设置的cookie（上面设置的域为domain=.linkedin.com;）：

在Node应用中实施Web认证的四大方法

缺点

为了尽可能避免 CSRF攻击，需要额外的工作。
和REST不兼容——因为它在无状态协议中引入了状态。

Tokens

如今JWT（JSON Web Token）随处可见——这里仍然有必要看看这其中潜在的安全问题。

我们首先来看下什么是JWT。JWT包括三个部分：

头部，包括token的类别和哈希算法。
载荷（Payload），包含着声明（claims）信息。
签名，如果选择HMAC SHA256的话，可以使用如下方法计算：

HMACSHA256( base64UrlEncode(header) + "." + base64UrlEncode(payload), secret)

在Koa应用中加入JWT只需要几行代码：

var koa = require('koa'); var jwt = require('koa-jwt');  var app = koa();  app.use(jwt({     secret: 'very-secret' }));  // protected middleware app.use(function *() {     // content of the token will be available on this.state.user     this.body = {         secret: '42'     }; });

示例用法（检查token的有效性或内容，可以使用 jwt.io ）

curl --header "Authorization: Bearer eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9.eyJzdWIiOiIxMjM0NTY3ODkwIiwibmFtZSI6IkpvaG4gRG9lIiwiYWRtaW4iOnRydWV9.TJVA95OrM7E2cBab30RMHrHDcEfxjoYZgeFONFh7HgQ" my-website.com

正如前面所说的那样，在Chrome中也可以看到tokens的内容：

在Node应用中实施Web认证的四大方法