موقع وإلغاء توقيع ملف تعريف الارتباط
قم بتوقيع وإلغاء توقيع قيم ملف تعريف الارتباط HTTP باستخدام HMAC-SHA256 لإدارة الجلسة الآمنة والتحقق من سلامة البيانات
الإدخال
الإخراج
ملف القراءة
ما هو توقيع ملفات تعريف الارتباط؟
توقيع ملفات تعريف الارتباط هي تقنية أمنية تضيف توقيعًا تشفيريًا إلى قيم ملفات تعريف الارتباط ، مما يضمن سلامتها وأصالتها. عندما يرسل الخادم ملف تعريف ارتباط إلى المتصفح ، فإنه يضيف رمز المصادقة على الرسائل المستند إلى التجزئة (HMAC) إلى قيمة ملف تعريف الارتباط. يتم إنشاء هذا التوقيع باستخدام مفتاح سري معروف فقط للخادم. عندما يرسل المتصفح ملف تعريف الارتباط مرة أخرى ، يمكن للخادم التحقق من التوقيع للتأكد من عدم تلاعب بملف تعريف الارتباط.
كيف يعمل توقيع HMAC-SHA1؟
HMAC (رمز المصادقة على الرسائل المستند إلى التجزئة) يجمع بين دالة التجزئة التشفيرية ومفتاح سري لإنشاء توقيع فريد. بالنسبة لتوقيع ملفات تعريف الارتباط ، تعمل العملية على النحو التالي:
التوقيع: يتم دمج قيمة ملف تعريف الارتباط الأصلي مع مفتاح سري باستخدام خوارزمية HMAC-SHA1 ، مما ينتج عنه توقيع. تنسيق ملف تعريف الارتباط الموقع النهائي هو
value.signature، حيث يتم ترميز التوقيع بتنسيق base64url.التحقق: عند استلام ملف تعريف ارتباط موقع ، يقوم الخادم باستخراج القيمة الأصلية والتوقيع ، وإعادة حساب التوقيع المتوقع باستخدام نفس المفتاح السري ، ومقارنتها باستخدام مقارنة آمنة من حيث الوقت لمنع هجمات الوقت.
لماذا استخدام ملفات تعريف ارتباط موقعة؟
يمكن تعديل ملفات تعريف الارتباط غير الموقعة بسهولة من قبل المستخدمين أو النصوص البرمجية الخبيثة. يمكن للمستخدم تغيير معرف الجلسة الخاص به أو دور المستخدم أو غيرها من البيانات الحساسة المخزنة في ملفات تعريف الارتباط. تمنع ملفات تعريف الارتباط الموقعة هذا من خلال جعل أي تعديل قابلاً للكشف - إذا تغيرت القيمة ، فسيصبح التوقيع غير صالح.
وصف الأداة
تتيح هذه الأداة توقيع وإلغاء توقيع قيم ملفات تعريف الارتباط باستخدام توقيعات HMAC-SHA1 ، متوافقة مع تنسيق حزمة npm الشائعة cookie-signature. أدخل قيمة ملف تعريف الارتباط الخاص بك والمفتاح السري لإنشاء ملف تعريف ارتباط موقع ، أو الصق ملف تعريف ارتباط موقع لاستخراج والتحقق من قيمته الأصلية.
أمثلة
توقيع ملف تعريف ارتباط:
| الإدخال (غير موقع) | المفتاح السري | الإخراج (موقع) |
|---|---|---|
user123 |
my-secret-key |
user123.SNk0sCiCAuZ5cwj0lNdJfUgwqU4 |
session_abc |
app-secret |
session_abc.sBzU4FZRe3BfgNWZQB4viGTH37A |
إلغاء توقيع ملف تعريف ارتباط:
| الإدخال (موقع) | المفتاح السري | الإخراج (غير موقع) |
|---|---|---|
test.sOx9vuKRxxXdUOK0uLcAQ4CIORo |
password |
test |
اكتشاف التوقيع غير صالح:
إذا حاولت إلغاء توقيع ملف تعريف ارتباط باستخدام مفتاح سري خاطئ أو قيمة تم العبث بها ، فستعرض الأداة رسالة "توقيع غير صالح".
الميزات
- توقيع ملفات تعريف الارتباط باستخدام HMAC-SHA1 باستخدام أي مفتاح سري
- إلغاء توقيع والتحقق من ملفات تعريف الارتباط الموقعة لاستخراج القيم الأصلية
- مقارنة آمنة من حيث الوقت لمنع هجمات الوقت أثناء التحقق
- تنسيق متوافق مع حزمة Node.js
cookie-signature - معالجة على أساس المتصفح باستخدام Web Crypto API - لا يتم إرسال أي بيانات إلى الخوادم
حالات الاستخدام
- اختبار جلسات Express.js: التحقق من أن ملفات تعريف ارتباط جلسات Express موقعة بشكل صحيح ويمكن فك تشفيرها باستخدام مفتاحك السري
- استكشاف أخطاء المصادقة: استخراج القيمة الأصلية من ملفات تعريف الارتباط الموقعة لاستكشاف أخطاء تسجيل الدخول أو المشاكل المتعلقة بالجلسة
- مراجعة الأمان: التحقق من أن توقيعات ملفات تعريف الارتباط تعمل بشكل صحيح في تطبيقك الويب
- تعلم التشفير: فهم كيفية عمل توقيع ملفات تعريف الارتباط المستند إلى HMAC في الممارسة العملية
- اختبار الهجرة: ضمان توافق ملفات تعريف الارتباط عند تغيير المفاتيح السرية أو الانتقال بين الأطر