NJS Crypto 模块实战：Hash 与 HMAC 加密详解 | 极客日志

JavaScriptNode.js算法

NJS Crypto 模块实战：Hash 与 HMAC 加密详解

本文介绍 NJS 中 Crypto 模块的 Hash 与 HMAC 加密用法。Hash 用于数据完整性校验，HMAC 用于接口签名验证。文章涵盖核心 API 说明、基础代码示例及 NGINX 实战配置（响应头指纹添加、API 请求验签）。同时提供版本兼容性建议、性能优化及安全最佳实践，如避免使用 MD5/SHA1、密钥管理策略等，帮助开发者在 NJS 环境中实现轻量级加密需求。

邪神洛基发布于 2026/3/250 浏览

一、前置知识：NJS Crypto 模块基础

1.1 模块引入

NJS 从 0.7.0 版本开始，将 crypto 作为全局对象提供（无需额外安装依赖），也可通过 import 显式引入，两种方式均可：

// 方式 1：全局对象直接使用（推荐，NJS 0.7.0+）
const hash = crypto.createHash();


 crypto  ;
 hmac = crypto.(, );

类型	核心特点	适用场景
Hash（哈希）	单向加密，无密钥，相同输入必出相同输出	数据完整性校验（如文件指纹）、简单数据脱敏
HMAC（哈希消息认证码）	基于 Hash 算法 + 密钥，需密钥验证，更安全	接口签名、数据防篡改（如 API 请求验签）

import crypto from 'crypto';
// 1. 创建 SHA1 Hash 对象
const hash = crypto.createHash('sha1');
// 2. 传入待加密数据
hash.update('A');
// 3. 计算并输出 Base64URL 编码的哈希值
const result = hash.digest('base64url');
console.log(result);
// 输出：BtlFlCqiamG-GMPiK_GbvKjdK10

const hash = crypto.createHash('sha1');
// 多次 update 等价于 update('AB')
hash.update('A').update('B');
const result = hash.digest('base64url');
console.log(result);
// 输出：BtlFlCqiamG-GMPiK_GbvKjdK10（与单次传入'AB'结果一致）

const hash = crypto.createHash('md5').update('test');
console.log(hash.digest('hex'));
// 16 进制：098f6bcd4621d373cade4e832627b4f6
console.log(hash.digest('base64'));
// Base64：CJ7gi1p+z8UYhhyw2bbQhg==
// 注意：digest() 只能调用一次，再次调用会报错，需重新创建 Hash 对象

# nginx.conf 配置
http {
    js_import crypto.js; # 导入 NJS 脚本
    server {
        listen 80;
        location / {
            # 响应体过滤，计算 Hash 并添加响应头
            js_filter crypto.addHashHeader;
            return 200 "Hello NJS Crypto";
        }
    }
}

# crypto.js 脚本
function addHashHeader(r) {
    const data = r.responseBody; // 获取响应体
    // 计算 SHA256 哈希（Hex 编码）
    const hash = crypto.createHash('sha256').update(data).digest('hex');
    // 添加到响应头
    r.headersOut['X-Data-Hash'] = hash;
}

import crypto from 'crypto';
// 1. 创建 HMAC 对象（算法 + 密钥）
const hmac = crypto.createHmac('sha1', 'secret.key');
// 2. 传入待加密数据
hmac.update('AB');
// 3. 计算 Base64URL 编码的结果
const result = hmac.digest('base64url');
console.log(result);
// 输出：Oglm93xn23_MkiaEq_e9u8zk374

// 密钥 1：secret.key
const hmac1 = crypto.createHmac('sha1', 'secret.key').update('AB').digest('hex');
// 密钥 2：secret.key1（仅多 1 个字符）
const hmac2 = crypto.createHmac('sha1', 'secret.key1').update('AB').digest('hex');
console.log(hmac1);
// 5e0659fddf19f777f3922684a7f7bdbbcec937ee
console.log(hmac2);
// 7a8d9c8b7e6f5a4d3b2a1f0e9d8c7b6a5f4e3d2c1b0a9f8e7d6c5b4a3f2e1d0c
// 结果完全不同，体现密钥的唯一性

# nginx.conf 配置
http {
    js_import crypto.js;
    server {
        listen 80;
        location /api {
            # 前置校验签名
            js_access crypto.verifyHmacSign;
            proxy_pass http://backend;
        }
    }
}

# crypto.js 脚本
function verifyHmacSign(r) {
    // 1. 获取请求参数：客户端传的签名 + 请求体
    const clientSign = r.headersIn['X-API-Sign'];
    const requestData = r.requestBody;
    // 2. 服务端密钥（与客户端约定）
    const secretKey = 'my-api-secret-2025';
    // 3. 计算服务端签名
    const serverSign = crypto.createHmac('sha256', secretKey)
        .update(requestData)
        .digest('base64url');
    // 4. 验证签名
    if (clientSign !== serverSign) {
        r.return(403, 'Invalid sign'); // 签名不匹配，拒绝请求
    }
}

NJS Crypto 模块实战：Hash 与 HMAC 加密详解

一、前置知识：NJS Crypto 模块基础

1.1 模块引入

1.2 核心概念区分

二、Hash 算法：无密钥的单向加密

2.1 核心 API 说明

2.2 基础使用示例

示例 1：单次输入计算 SHA1 哈希（Base64URL 编码）

示例 2：多次输入拼接计算哈希

示例 3：不同编码输出对比

2.3 NJS 中 Hash 实战：NGINX 响应头添加数据指纹

三、HMAC 算法：带密钥的安全认证

3.1 核心 API 说明

3.2 基础使用示例

示例 1：基础 HMAC 计算（SHA1 + Base64URL）

示例 2：密钥的重要性（对比测试）

3.3 NJS 中 HMAC 实战：API 请求签名验证

四、注意事项与最佳实践

4.1 版本兼容

4.2 性能与安全建议

4.3 常见错误

五、总结

更多推荐文章

相关免费在线工具

NJS Crypto 模块实战：Hash 与 HMAC 加密详解

一、前置知识：NJS Crypto 模块基础

1.1 模块引入

1.2 核心概念区分

二、Hash 算法：无密钥的单向加密

2.1 核心 API 说明

2.2 基础使用示例

示例 1：单次输入计算 SHA1 哈希（Base64URL 编码）

示例 2：多次输入拼接计算哈希

示例 3：不同编码输出对比

2.3 NJS 中 Hash 实战：NGINX 响应头添加数据指纹

三、HMAC 算法：带密钥的安全认证

3.1 核心 API 说明

3.2 基础使用示例

示例 1：基础 HMAC 计算（SHA1 + Base64URL）

示例 2：密钥的重要性（对比测试）

3.3 NJS 中 HMAC 实战：API 请求签名验证

四、注意事项与最佳实践

4.1 版本兼容

4.2 性能与安全建议

4.3 常见错误

五、总结

微信扫一扫，关注极客日志

更多推荐文章

相关免费在线工具