connect / expressjsの「署名された」Cookieとは何ですか？

「署名されたCookie」が実際に何であるかを理解しようとしています。ネットにはあまりありません。これを試してみます。

app.use(express.cookieParser('A secret'));

しかし、それでも...ブラウザーではCookieは100％正常であり、ここに「署名」が何であるかは本当にわかりません（私は、クライアントでいくつかの奇妙さ、たとえば、塩としての「秘密」？）

ドキュメントは言う（https://github.com/expressjs/cookie-parser）：

Cookieヘッダーを解析req.cookies し、Cookie名をキーとするオブジェクトを入力します。オプションで、他のミドルウェアで使用できるようにsecret割り当てる文字列を渡すことにより、署名付きCookieサポートを有効にすることができますreq.secret。

誰か知っていますか？

Merc。

Cookieは引き続き表示されますが、署名があるため、クライアントがCookieを変更したかどうかを検出できます。

値（現在のcookie）のHMACを作成し、base64でエンコードすることで機能します。Cookieが読み取られると、署名が再計算され、添付されている署名と一致することが確認されます。

一致しない場合、エラーが発生します。

Cookieの内容も非表示にする場合は、代わりに暗号化する必要があります（またはサーバー側のセッションに保存するだけです）。そのためのミドルウェアがすでにあるかどうかはわかりません。

編集する

そして、あなたが使用する署名されたクッキーを作成するには

res.cookie('name', 'value', {signed: true})

署名されたCookieにアクセスするには、次のsignedCookiesオブジェクトを使用しますreq。

req.signedCookies['name']

うん、emostarのように、値が改ざんされていないことを確認するだけであると述べています。2つを区別するために別のオブジェクト（req.signedCookies）に配置され、開発者が意図を示すことができます。他の人と一緒にreq.cookiesに保存されている場合、誰かが同じ名前の署名されていないcookieを作成し、それらの目的全体を無効にすることができます。

私はこれに対する良い答えをかなり広範囲にわたって探していました...そして、署名付きCookieに署名cookie-signatureするcookie-parserために使用されるのソースコードを見ると、署名付きCookieについて理解を深めることができました。

valもちろんCookieの値であり、secretオプションとして追加する文字列です。 cookie-parser

https://github.com/visionmedia/node-cookie-signature/blob/master/index.js#L16

cookie-parser 1.4.4バージョンを使用しました。

ブラウザで暗号化された署名付きCookieと署名付きCookieを追加できます。editThisCookie（Chromeプラグイン）を使用して署名付きCookieを編集しようとすると、Cookieパーサーが外部の変更を検出し、値としてfalseを設定します。

response.cookie('userId',401,{signed: true})

ブラウザの応答ヘッダー、次のように表示

Set-Cookie: empId=s%3A101.US2oSV4TSvfkvvEQ5fj1sXsjj8rNxx2ph4VdHNTuKX8; Path=/

署名付きCookieを取得する

request.signedCookies

https://gist.github.com/dineshbalaji/607d166f0240f932a5cb02099b0ece4c