koa-csrf源码解析

2021-09-10

字数统计: 719 | 阅读时长≈ 3 分钟

介绍

CSRF tokens for Koa

针对Koa的CSRF tokens，它主要使用了csrf这个库。

简述工作流程

客户端请求页面：

服务端为用户当前 session 生成 secret 值，并存到 session 里；
根据 secret 生成 csrf token，存到 ctx._csrf;
下发 csrf token 到客户端

用户写操作，比如发送 post 请求时:

服务端获取客户端传递过来的 csrf token;
服务端从当前 session 找到 secret 值;
服务器用 secret 与接收的 csrf token 进行校验；

demo

const Koa = require("koa");
const bodyParser = require("koa-bodyparser");
const session = require("koa-generic-session");
const convert = require("koa-convert");
const CSRF = require("koa-csrf");

const app = new Koa();

// set the session keys
app.keys = ["a", "b"];

// add session support
app.use(convert(session()));

// add body parsing
app.use(bodyParser());

// add the CSRF middleware
app.use(
  new CSRF({
    invalidTokenMessage: "Invalid CSRF token",
    invalidTokenStatusCode: 403,
    excludedMethods: ["GET", "HEAD", "OPTIONS"],
    disableQuery: false,
  })
);

// your middleware here (e.g. parse a form submit)
app.use((ctx, next) => {
  if (!["GET", "POST"].includes(ctx.method)) return next();
  if (ctx.method === "GET") {
    ctx.body = ctx.csrf;
    return;
  }
  ctx.body = "OK";
});

app.listen();

源码

const csrf = require("csrf");

class CSRF {
  constructor(opts = {}) {
    // 设置默认的参数
    this.opts = Object.assign(
      {
        // 验证错误信息
        invalidTokenMessage: "Invalid CSRF token",
        // 验证错误状态码
        invalidTokenStatusCode: 403,
        // 排除的方法
        excludedMethods: ["GET", "HEAD", "OPTIONS"],
        // 禁止通过地址栏query传递 _csrf
        disableQuery: false,
      },
      opts
    );

    // 生成csrf实例
    this.tokens = csrf(opts);

    return this.middleware.bind(this);
  }

  middleware(ctx, next) {
    // 在ctx上挂载csrf属性，调用ctx.csrf时返回该函数
    ctx.__defineGetter__("csrf", () => {
      // 如果存在则返回，避免多次生成
      if (ctx._csrf) {
        return ctx._csrf;
      }

      // csrf依赖服务端session
      if (!ctx.session) {
        return null;
      }

      // 生成secret存储在ctx.session.secret
      if (!ctx.session.secret) {
        ctx.session.secret = this.tokens.secretSync();
      }

      // 根据上述的secret生成csrf token存到ctx._csrf
      ctx._csrf = this.tokens.create(ctx.session.secret);

      return ctx._csrf;
    });

    // 将csrf生成的东西挂载到响应中
    ctx.response.__defineGetter__("csrf", () => ctx.csrf);

    // 如果是请求方法黑名单直接不处理
    if (this.opts.excludedMethods.indexOf(ctx.method) !== -1) {
      return next();
    }

    if (!ctx.session.secret) {
      ctx.session.secret = this.tokens.secretSync();
    }

    // 从ctx.request.body取出客户端传递过来的_csrf token
    const bodyToken =
      ctx.request.body && typeof ctx.request.body._csrf === "string"
        ? ctx.request.body._csrf
        : false;

    // 兼容获取token，除从body获取token，还可从ctx.query._csrf获取，或cookie中get方法查询指定字符串
    const token =
      bodyToken ||
      (!this.opts.disableQuery && ctx.query && ctx.query._csrf) ||
      ctx.get("csrf-token") ||
      ctx.get("xsrf-token") ||
      ctx.get("x-csrf-token") ||
      ctx.get("x-xsrf-token");

    // 如果获取失败、根据配置的错误信息、抛错
    if (!token) {
      return ctx.throw(
        this.opts.invalidTokenStatusCode,
        typeof this.opts.invalidTokenMessage === "function"
          ? this.opts.invalidTokenMessage(ctx)
          : this.opts.invalidTokenMessage
      );
    }

    // 校验token失败抛错
    if (!this.tokens.verify(ctx.session.secret, token)) {
      return ctx.throw(
        this.opts.invalidTokenStatusCode,
        typeof this.opts.invalidTokenMessage === "function"
          ? this.opts.invalidTokenMessage(ctx)
          : this.opts.invalidTokenMessage
      );
    }

    return next();
  }
}

module.exports = CSRF;

参考链接

打赏

版权声明： 本博客所有文章除特别声明外，著作权归作者所有。转载请注明出处！