为web接口增加认证信息

dgiij

已于 2024-12-04 10:39:25 修改

阅读量300

点赞数 3

CC 4.0 BY-SA版权

文章标签：后端 node.js http express 安全 web安全

于 2024-12-04 10:19:06 首次发布

本文链接：https://blog.youkuaiyun.com/dgiij/article/details/144231602

上一篇文章介绍的是增加认证信息后，调用方需要适配的改动，本篇介绍下接口服务方的改动。
首先要接受在http请求头中传递这些自定义的header字段，然后要检查这些字段是否匹配预设值，时间是否同步（允许一定范围内的偏差），签名是否正确。具体代码示例如下：

const md5 = require('js-md5');
const options={
"appId":...,
"appKey":...
}
...
app.use((req, res, next) => {
	res.header("Access-Control-Allow-Origin",  "*");
	res.header("Access-Control-Allow-Headers", "Content-Type, Content-Length, Authorization, Accept, X-Requested-With, appId,sign,timeStamp,nonceStr");
	res.header("Access-Control-Allow-Methods", "PUT, POST, GET, DELETE, OPTIONS");
	if (req.method === "OPTIONS"){ res.sendStatus(200); } else { next(); }
	});

app.get('/test',function(req,res){
	let hrh=req.headers
	if ((hrh["appId"]==undefined)||(hrh["nonceStr"]==undefined)||(hrh["timeStamp"]==undefined)||(hrh["sign"]==undefined)) return  res.json(msg:"header字段缺失"});
	if (hrh["appid"]!=options["appid"]) return res.json({msg:"非授权访问"});
	let ctime=hrh["timestamp"];
	if (!(/^\d{13}$/.test(ctime)))  return res.json({msg:"时间戳格式错"});
	let cltime=eval(ctime);
	let stime=Date.now();
	offset=stime-cltime;
	if ((offset<-300000)||(offset>300000)) return res.json({msg:"时间不同步"});
	let ss=md5(hrh["appid"]+hrh["noncestr"]+hrh["timestamp"]+options["appkey"]);
	if (ss!=hrh["sign"]) return res.json({msg:"签名错"});
	//验签通过,后续正常处理
	...
	});