Vue中的组件是可以被外界调用的,但是如何确定这个调用是来自于信任的来源,避免不安全的操作呢?这时我们就可以使用Vue提供的签名机制来确保安全性。
Vue的签名机制可以让我们设置一个私钥,然后在组件被调用时会使用这个私钥来签名,外界则需要使用相应的公钥进行验证,确保调用方已获得授权。
首先,我们需要生成一对公私密钥:
const { generateKeyPairSync } = require('crypto');
const { privateKey, publicKey } = generateKeyPairSync('rsa', {
// 生成 1024 位长度的 RSA 密钥对
modulusLength: 1024,
publicKeyEncoding: {
type: 'spki',
format: 'pem'
},
privateKeyEncoding: {
type: 'pkcs8',
format: 'pem'
}
});
生成密钥对后,我们需要将私钥用来对组件进行签名,并将公钥提供给调用方:
export default {
// ...
created() {
const { privateKey } = this.$options;
if (!privateKey) {
console.error('组件缺少签名私钥');
return;
}
this.sig = crypto.createSign('RSA-SHA256');
this.sig.update(this.$el.outerHTML);
this.signature = this.sig.sign({
key: privateKey,
padding: crypto.constants.RSA_PKCS1_PSS_PADDING,
saltLength: this.signatureSalt || 64
}, 'base64');
console.log('组件签名:', this.signature);
},
computed: {
publicKey() {
return this.$options.publicKey;
}
}
};
在组件实例化时,我们会对组件本身进行签名,并使用私钥计算出签名值。在计算时,我们会传入一些参数,包括padding(填充方式)和saltLength(盐的长度)。这些参数会影响签名结果,确保签名的唯一性和安全性。
然后,我们需要在组件调用方验证签名是否正确:
function verifySignature(signature, el, publicKey) {
const verify = crypto.createVerify('RSA-SHA256');
verify.update(el.outerHTML);
return verify.verify(publicKey, signature, 'base64');
}
const isAuthorized = verifySignature(signature, this.$el, publicKey);
在调用方,我们将组件的DOM元素、公钥、以及组件签名传入验证函数中,验证函数会返回一个是否验证通过的结果。如果验证通过,则说明调用方已获得授权,可以安全地调用组件。