node.js - 如何使用散列值创建正确的用户标识

问题描述

对后端、会话和密码学来说是全新的。所以我在这里问什么是识别Web应用程序用户的正确方法。

这是故事：

我正在为 Shopify 电子商务平台开发一个应用程序。当商家最初访问应用时，Shopify 会向应用发送 hmac 验证。当 Shopify 授权 hmac 得到验证时，应用存储“商店名称”cookie 并将应用页面作为响应发送回。问题是当商家遵循其他应用程序路线时，没有任何方法可以验证商家实际上是他/她是谁。应用程序在这些路线上拥有的唯一信息是“shopname”cookie。我想出了一些随机散列值来识别商家。我所做的是从随机值创建 hmac（作为 'app-token' cookie）并将它们和创建日期存储到数据库中的 'shopname' 值下。

当路由获取请求时，应用程序会读取“shopname”和“app-token”cookie，并向 DB 询问存储的值。然后检查自“app-token”创建以来是否不超过 1 天，根据这些值创建 hmac 并验证“app-token”cookie 是否相等。如果超过 1 天的商家被重定向到 Shopify hmac 授权路径，并且正在生成新的“app-token”hmac cookie 并将其存储到 DB（这是生成它的唯一位置）。

这就是“app-token”目前的样子：

var random_num = Math.random().toString();
var auth_hash = crypto.createHash('md5').update(random_num).digest('base64');

var auth_hmac_random_num = Math.random().toString();
var auth_hmac = crypto.createHmac('sha256',auth_hash).update(auth_hmac_random_num).digest('hex');

var auth_hmac_concant_random_num = Math.random().toString();
var auth_hmac_concat = crypto.createHash('md5').update(auth_hmac_concant_random_num).digest('hex');

var auth_hmac = auth_hmac_concat + auth_hmac;

auth_hash、auth_hmac_random_num、auth_hmac_concat 以 JSON 格式存储到数据库中的“shopname”值下。根据请求验证 auth_hmac_concat 从 'app-token' cookie 中删除，并且 hmac 是从 auth_hash 和 auth_hmac_random_num 创建的，并被验证为 'app-token' crypto.timingSafeEqual(hmac, app_token)。

同样，我对后端完全陌生，我可能过于复杂或过于简化事情。问题是在所描述的姜黄素中识别商人的正确方法是什么？希望我足够清楚。

标签： node.jssessionauthenticationcryptographyshopify