ActiveSupport宝藏之MessageVerifier

rails的ActiveSupport组件提供了很多非常有用的小功能,如果善于利用的话,可以使我们在实际项目中减少很多重复造轮子的事情。 今天我们介绍的主角就是:MessageVerifier,MessageVerifier 提供了加密和解密消息的功能,可以有效的防止信息被伪造。 其源码位于active_support/message_verifier.rb文件,下面介绍使用方法及原理:

应用场景

正常情况下,http协议对信息都是进行明文传输,用过抓包工具的同学一定印象很深刻,我们通过form表单提交的密码信息实际是明文传输非常透明的。 当然我们可以使用https对web信息进行加密后传输,不过https会牺牲一些性能和速度,于是一些敏感信息我们便可以单独加密传输。

举个例子,我们经常在cookie中存储 remember me 的相关信息,包括过期时间等内容。这个时候我们就可以对相关内容进行加密。

本周的开发工作中,我也遇到了一个需要加密传输的需求:当我们的用户连续签到达到7天,我们将赋予这个用户解锁某个功能的权限。我们会带着用户token参数去调用一个接口。 用户是很容易知道自己的token的,如果某个用户用自己的token去请求这个接口,不就为自己开通了权限。这个时候我们最好的办法就是对token进行加密,然后收到请求后再解密。

工作原理

加密的过程就是以某个流程将信息转化成另一个样子,解密的过程就是以相对的过程将“另一个样子”的信息还原成本来的信息。所以说这个类中一定提供了两个方法,一个是加密的,一个是解密的。 这两个对应的方法是:

  • 加密:generate
  • 解密:verify

这两个方法是ActiveSupport::MessageVerifier的对象方法。下面我们先来 new 一个对象。 ActiveSupport::MessageVerifier对象会包含下面几个信息:

  • @secret: 俗称暗号,没有默认值,new方法中必须提供;
  • @digest: 采用的摘要算法,默认SHA1,可选的有:MD5 / SHA1 / SHA2等;
  • @serializer: 对象序列化方法,默认是:Marshal,可选的有YAML, JSON, Marshal等;
# new 对象
@verifier = ActiveSupport::MessageVerifier.new('123456')
# => #<ActiveSupport::MessageVerifier:0x007fe522132ba8 @secret="123456", @digest="SHA1", @serializer=Marshal>

# new 对象并指定serializer 为 YAML
@verifier = ActiveSupport::MessageVerifier.new('123456', serializer: YAML)
# => #<ActiveSupport::MessageVerifier:0x007fe522103448 @secret="123456", @digest="SHA1", @serializer=Psych>

要加密的内容可为任何形式的对象,MessageVerifier对象会以指定的对象序列化方法进行序列化。 示例中我们加密的对象是一个包含用户id及过期时间的数组:[user_id, time]

# 加密
cookies[:remember_me] = @verifier.generate([@user.id, 2.weeks.from_now])

# 解密
id, time = @verifier.verify(cookies[:remember_me])

# 应用:判断是否过期并查找用户
if time < Time.now
  @current_user = User.find(id)
end