节点Hmac认证

2024-01-12

我对认证过程的理解。主机创建一个secret and a public api key。客户端借助密钥对有效负载进行加密，这就是签名。然后将其公钥、有效负载、签名发送给主机。

示例客户端 https://github.com/bitfinexcom/bitfinex-api-node/blob/master/ws.js#L404

主机检查公钥是否允许执行操作，并根据客户端公钥获取秘密。在秘密的帮助下，主机解密签名并将其与有效负载进行比较。

Question

上述过程描述正确吗？
如何解密签名并将其与有效负载进行比较？
或者我应该以与客户端相同的方式对其进行加密，然后进行比较？
这两个步骤具体是做什么的update & digest 节点文档 https://nodejs.org/api/crypto.html#crypto_hmac_digest_encoding

Client:

  authenticate: (self)->
    payload = 'AUTH' + moment()
    signature = crypto.createHmac('sha384', WEBSOCKET_SECRET)
      .update(payload)
      .digest('hex')

    data = {
      event: 'auth',
      apiKey: WEBSOCKET_KEY,
      authSig: signature,
      authPayload: payload
    }
    self.send self, data

Server:

hmac = crypto.createHmac('sha384', WEBSOCKET_SECRET)
hmac.on 'readable', () ->
  data = hmac.read()
  if (data)
    console.log data, data.toString('utf-8')


# hmac.write(authPayload)
hmac.write(signature)
hmac.end()

当前的服务器端解决方案

  authenticate: (authPublicKey, authSignature, authPayload)->
    signature = crypto.createHmac('sha384', WEBSOCKET_SECRET)
      .update(authPayload)
      .digest('hex')

    return authSignature == signature

HMAC 不用于加密/解密，仅用于身份验证和数据完整性检查。

客户端发送他的有效负载、他的 pk 以及他的有效负载的 hmac 和他的密钥。服务器检索用户及其 pk，使用检索到的 sk 重新计算 hmac，然后检查计算出的 hmac 是否等于检索到的 hmac。

客户端有一个公钥和一个秘密密钥：

var str        = payload_string;
var public_key = pk;
var secret_key = sk;

var hmac = crypto.createHmac('sha384', sk).update(str).digest('hex');

request.post({uri:..., json: { hmac, public_key, payload: str }, function(err, response, body) {
   console.log(body);
});

在服务器上：

exports.... = function(req, res)
{
   var hmac = req.body.hmac;
   var pk = req.body.public_key;
   var payload  = req.body.payload;


   // retrieve authorized user
   User.findOne({ pk }, function(err, user) {
      if(err || !user){
        return res.status(403).json({error:"Invalid user"});
      }

      // recompute hmac
      var compute_hmac= crypto.createHmac('sha384', user.sk).update(payload).digest('hex');

      // check hmac
      if(compute_hmac != hmac) {
        return res.status(403).json({error:"Security check failed"});
      }
      // do stg
      return res.status(200).json({success:"ok"});
    });
  }

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

nodejs

hmac

节点Hmac认证的相关文章

启动nodejs时出错：openssl配置失败

启动 Express 节点时出现以下错误 openssl 配置失败错误 02001003 系统库 fopen 没有这样的过程节点无论如何都会启动我没有尝试使用 SSL 这是起始代码 app Express app set port
使用 npm 作为构建工具连接文件

我最近发现我可以使用 npm 作为任务运行程序而不是 gulp 或 grunt 到目前为止一切都很棒 lint stylus jade uglify watch 等但串联部分我似乎无法实现 gulp 是这样的 gulp task s
Nodemailer：从未收到问候语

当尝试使用 Nodemailer 在 Node 内发送电子邮件时 https github com nodemailer nodemailer https github com nodemailer nodemailer 调用sendMai
TRACKER：错误TRK0005：无法找到：“CL.exe”。该系统找不到指定的文件

我尝试在 Windows 8 上的 Node js 项目中执行以下命令 npm 安装电子邮件受保护 cdn cgi l email protection 但我收到一个错误我不知道如何处理 TRACKER 错误TRK0005 无法找到 C
如何从配置加载套接字 io 事件监听器？ [复制]

这个问题在这里已经有答案了我有使用套接字io 的nodejs 应用程序我将存储在 config routes js 中的所有事件侦听器 module exports routes auth login controller auth a
尝试在节点 0.12 上重新安装 `node-sass`？

我想使用谷歌网络入门套件我安装了node js v0 12 0 node sass gulp 然后跑 sudo npm install 当我打字时gulp serve然后得到这个错误 Using gulpfile web starter
Socket.io v3 不支持的协议版本错误

我坚持使用较新版本的 socket io 一切都很好但是当我想升级到 socket io 3 时一切都崩溃了目前在客户端上我收到一个 400 HTTP 状态代码并带有以下 JSON 响应 code 5 message Unsupp
tsconfig.json 中模块类型的区别

在 tsconfig json 中 compilerOptions target es5 module commonjs moduleResolution node sourceMap true emitDecoratorMetadata
如何将 NODE_EXTRA_CA_CERTS 的值传递给使用 Serverless 部署的 AWS Lambda？

我正在部署一个节点AWS Lambda https aws amazon com lambda with 无服务器 https github com serverless serverless 由于运行此代码的机构的内部要求我需要通过额外
Node.js：如何在检索数据（块）时关闭响应/请求

我正在用 node js 构建一个应用程序它加载多个页面并分析内容因为 node js 发送块所以我可以分析这些块如果一个块包含例如索引 nofollow 我想关闭该连接并继续其余部分 var host example com to
无法通过节点应用程序连接到redis，两者都在docker中

我正在尝试将我的应用程序连接到 redis 但我得到 ioredis Unhandled error event Error connect ECONNREFUSED 127 0 0 1 6379 当我做 docker exec it ed
无法运行 npm install

In here http devdocs magento com guides v2 0 frontend dev guide css topics css debug html它说要跑npm install 但是当我运行时出现此错误sud
无法调用 Node.js 中 ES6 定义的类中的方法 [重复]

这个问题在这里已经有答案了我正在使用 Node js Express js 和 MongoDB 制作一个应用程序我正在使用 MVC 模式并且还有单独的路由文件我正在尝试创建一个控制器类其中一个方法调用其中声明的另一个方法但我似乎
express.js api 应用程序中的内存泄漏

我正在运行一个express js应用程序它用作REST API 一个端点启动 puppeteer 并使用多个过程测试我的网站启动应用程序并持续消耗端点后我的 docker 容器每小时都会耗尽内存如下所示首先我认为我的 pupp
Angular 2 验证状态

我使用 Angular 2 实现了一个登录页面登录后我从服务器获取 jsonwebtoken userId userRole userName 我将此信息存储在本地存储中以便我可以随时访问它并在用户刷新页面时保持登录状态 AuthSe
如何修复：升级 Node 版本后出现“EPROTO”错误

以下代码适用于 Node 的v10 15 3版本 const post require request post url https cidadao sinesp gov br sinesp cidadao mobile consultar
ReactJS 部署应用程序错误无法复制到剪贴板：命令失败：xsel --clipboard --input

我正在尝试部署一个ReactJS我的应用程序乌班图16 04服务器但是当我执行命令时 serve s build 这是我的package json file name client version 0 1 0 private true de
作为 Visual Studio Team Services 构建任务的一部分运行“节点测试”，结果显示在“测试”选项卡中

我有一个项目其中包含我从命令行使用 Mocha 运行的测试我已经在我的中设置了一个测试脚本packages json 如下所示 test mocha spec js reporter dot require jsdom global r
通过sequelize.query() 插入原始查询时不会触发挂钩

我有以下内容EmployeeMySQL 数据库模型 var bcrypt require bcrypt module exports sequelize DataTypes gt const Employee sequelize defin
Nodejs Express css和js未加载

我在nodejs上使用express 我加载的 html 文件没有获取 java 脚本和 css 文件索引 html

随机推荐

Jenkins 蓝海：Maven 看不到 Java

即使路径存在我也收到错误 var jenkins home tools hudson model JDK jdk8 bin java 未找到 edi debatcher master LNI22Y2C5V3VECCBCFPVB3ZUWJJ
如何检查双精度数是否可以放入浮点数而不转换为无穷大

是否有一种标准方法来检查 64 位浮点数是否可以转换为 32 位浮点数而不转换为 Infinity 我知道事后可以检查 Inf Convert ToSingle 不会这样做为了测试是否double value d将转换为float在不产生
如何强制 PhpMailer 5.2 使用 TLS 1.2

最近我使用的第三方电子邮件服务提供商发生了变化他们禁用了对 TLS 1 0 和 TLS 1 1 的支持我为仍然使用 php 5 3 和 phpmailer 5 2 的古老系统提供支持我的测试表明 TLS 1 2 已启用但是禁用 T
使用带有自定义键的 HashMap

快速问题如果我想使用HashMap以自定义类为键 must我覆盖hashCode功能如果我不重写该函数它将如何工作如果您不覆盖 hashCode AND equals 您将获得默认行为即每个对象都是不同的无论其内容如何
WF4 InstancePersistenceCommand 中断

我有一个 Windows 服务正在运行工作流程工作流程是从数据库加载的 XAML 用户可以使用重新托管的设计器定义自己的工作流程它配置有一个 SQLWorkflowInstanceStore 实例以便在空闲时保留工作流它基本上源自
有什么方法可以判断任意 .docx 文件是否采用 Strict Office Open XML 格式与过渡格式？ (ECMA-376)

我在网上搜索过没有找到任何程序或工具可以区分那些编码为严格 ECMA 376 和非严格 ECMA 376 的 docx 文件对于 xlsx 文件也是如此大多数讨论都集中在给定应用程序支持哪些格式例如LibreOffice 但不知道如
一起录制视频和屏幕并用 Javascript 覆盖

我想在网络摄像头旁边记录用户的屏幕并将结果显示为叠加层如下所示我假设在录制时我可以在两个单独的视频元素中显示多个流并用 CSS 覆盖它们然而我该如何save结果是两个视频的叠加这可以在纯 JS 中实现如下所示通过 getUse
为什么建议在 .NET 中使用反射？

使用它绝对是一个好的做法吗项目中有哪些可能的情况需要反思反射的主要价值在于它可用于检查程序集类型和成员它是一个非常强大的工具用于确定未知程序集或对象的内容并且可用于多种情况 Reflection 的反对者会说它很慢与静态代码执
延迟函数不恢复

所以我一直在摆弄go 我发现下面的函数恢复成功 package main import fmt func a defer func if r recover r nil fmt Println Recovered r n int 5 7
如何修复 Laravel 应用程序找不到 nginx 404？

我所有的路线都得到了404未找到如果我访问我可以打开 Laravel 页面localhost mylaravel 但如果我访问localhost mylaravel login 我得到 404 未找到页面如果我更改 home 上的回家
Login-AzureRmAccount 返回订阅，但 Get-AzureSubscription 返回空

我能够成功登录Login AzureRmAccount 我还可以在 Login AzureRmAccount 的返回值中看到我的订阅但登录后如果我输入Get AzureSubscription它返回空找到下面的截图嗯你需要使用Ge
如何向android studio添加外部依赖（jar文件）？

我正在尝试将外部库 httpmime 4 0 sources jar 添加到 android 项目中因为 android studio 弹出如下错误 error 包 org apache http entity mime 不存在 erro
Microsoft UI 自动化的 Python 绑定？ [关闭]

Closed 这个问题正在寻求书籍工具软件库等的推荐不满足堆栈溢出指南 help closed questions 目前不接受答案有人知道 Microsoft UI 自动化的 Python 绑定吗 http msdn microso
Flutter：如何避免在现有路由上推送相同的路由

我有带有底部导航栏的视图当您按下导航栏项目时一条新路线将被推入视图中 final navigatorKey GlobalKey
Azure B2C：检查本地帐户创建期间是否存在另一个声明

除了通常根据所使用的电子邮件当前是否存在创建帐户之外我想知道如何检查 Azure Active Directory 中是否不存在另一个声明值例如对于我们的应用程序创建帐户的任何人都必须提供组织名称一旦他们注册他们就是其组织群组的
如何使用 Selenium 和 Python 更改用户代理

我在使用 selenium 更改 Python 中的 Web 驱动程序用户代理时遇到错误这是我的代码 import requests import json from selenium import webdriver from sele
Vector3 不可序列化 Unity3D

好吧我按照 Unity3D 数据持久化教程进行操作一切都很顺利直到我尝试保存 Vector3 类型的数据本教程仅展示如何保存 int 和 string 当我使用函数 Save 时控制台向我显示says SerializationE
使用 REST API 的可编辑 jQuery 网格推荐

首先我已经读过这个问题 jQuery 网格建议 https stackoverflow com questions 159025 jquery grid recommendations 但这并不能回答我的问题我有一个小带有 MongoD
带指数的浮点文字的类型

具有指数部分的浮点文字是什么类型例如123456e 3在 C 99 中是否属于类型float or double 当用作float初始化程序在float f 123456e 3 是否需要有一个f suffix 默认情况下所有浮点文字
节点Hmac认证

我对认证过程的理解主机创建一个secret and a public api key 客户端借助密钥对有效负载进行加密这就是签名然后将其公钥有效负载签名发送给主机示例客户端 https github com bitfinexco