学习路线:
这个方向初期比较容易入门一些,掌握一些基本技术,拿起各种现成的工具就可以开黑了。不过,要想从脚本小子变成黑客大神,这个方向越往后,需要学习和掌握的东西就会越来越多以下是网络渗透需要学习的内容:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
app.use((req, res, next)=>{
var url = req.originalUrl
console.log(‘filter - url:’,url)
// 第一步,判断是否白名单,比如登录,退出,其他不限制的资源访问。
if(url.startsWith(‘/login/’)||url===‘/logout’||url===‘/checkToken’){
next();
return;
}
// 第二步,如果不是上面的白名单资源,那么获取令牌token,没有代令牌直接拒绝
var t = req.header(‘token’)
console.log(‘filter - request header token:’, t)
if(!t){
res.status(400).send(“禁止越权访问!!!”)
return
}
// console.log(‘filter - current session:’, req.session)
//第三步,查询网站的用户令牌注册表,是否保护当前令牌对应的用户,否则显示令牌失效,类似拿错卡了。
var user = getUserByToken(req)
if(!user){
res.status(400).send(“您的token失效或者未登录,请登录!”)
return
}
//最后,上面的校验都通过了,直接进行后续资源处理。
req.session.user = user
console.log('filter - check user is ’ + user)
next();
});
// token令牌注册表
const tokenRegisterTable = {}
// 定义一个根据令牌查询并获取用户信息的方法
const getUserByToken=(req)=>{
var t = req.header(‘token’)
if(!t) return false
return tokenRegisterTable[t]
}
所以,通过一个拦截器,类似Spring的AOP机制(或者Servlet中的Filter)针对每一个请求查看令牌。
这个拦截器/过滤器,就像一个坚守在阵地的安全卫士:小兄弟站住,请出示有效证件?否则,尽快离开!
(图片转自:https://www.sohu.com/a/293107575\_579043,如果有版权问题请告知,感谢)
### 令牌如何生成,卡片怎么造出来发行的?
注册卡片,就像每个学生/员工去相关单位报到一样,你报到当天,管理给了你一个卡。
在我们代码中,通常都会有一个注册过程,但是不会这个时候发卡给你,因为网站数据发一个永久可以用的卡,会有很大的安全隐患。所以更多的做法是,每次登录都发卡(token令牌)!而且这个卡是有时限性的。
下面是登录发放token令牌的实现:
//这个是登录的接口,这里省去了校验密码的过程
app.get(‘/login/:user’, function(req, res){
const user = req.params.user
console.log('user is ',user)
//从express 的session会话中查看用户是否已经登录
if(req.session.name){
res.send(‘您已登录,用户’+req.session.name)
return;
}
//如果没有登录,记录用户和在相应中设置两个cookie,记录用户名和token令牌
req.session.user = user
res.cookie(‘name’, user)
res.cookie(‘token’, getTokenFromSession(user,req.session)) //token令牌用于客户端存储。看看下面的浏览器token的截图
res.send(“登录用户=” + user)
});
// 一个生成随机令牌的简单实现
const getTokenFromSession = (user, session)=>{
var token = ‘token-’ + rand()
tokenRegisterTable[token] = user
console.log(‘tokenRegisterTable=’,tokenRegisterTable)
return token
}
const rand = () => new Date().getTime()+‘-’+Math.floor((Math.random()+1)*1000)
我们看看用户本地的令牌,这里还存了一个用户名。
### 难度升级,我们看看大致过程
下面是这个极简权限认证的核心代码,学委这里只展示重点环节。
* 展示了登录和令牌生成,但是没有从数据库查加密密码密文或者分布式缓存校验用户回会话。
* 只是简单的对cookie和session进行加密
* 只是简单做了一个tokenRegisterTable,令牌注册表
* 实现了登录/退出/一个受限资源进行核心原理展示。
const express = require(‘express’)
const serveStatic = require(‘serve-static’)
const session = require(‘express-session’)
const cookieParser = require(‘cookie-parser’)
const app = express()
const tokenRegisterTable = {}
//价值静态页面,上图中展示登录/验证访问受限资源的页面
app.use(serveStatic(‘./public’));
app.use(cookieParser(‘雷学委Key’))
app.use(session({
secret: ‘雷学委Key’,
resave: true,
saveUninitialized: true,
cookie: { secure: true }
}))
const getUserByToken=(req)=>{
var t = req.header(‘token’)
if(!t) return false
return tokenRegisterTable[t]
}
//请求拦截器
app.use((req, res, next)=>{
var url = req.originalUrl
console.log(‘filter - url:’,url)
if(url.startsWith(‘/login/’)||url===‘/logout’||url===‘/checkToken’){
next();
return;
}
var t = req.header(‘token’)
console.log(‘filter - request header token:’, t)
if(!t){
res.status(400).send(“禁止越权访问!!!”)
return
}
// console.log(‘filter - current session:’, req.session)
var user = getUserByToken(req)
if(!user){
res.status(400).send(“您的token失效或者未登录,请登录!”)
return
}
req.session.user = user
console.log(‘filter - check user is ’ + user)
next();
});
//退出用户,清楚本地的访问令牌
app.get(’/logout’,(req,res)=>{
var t = req.cookies[‘token’]
var u = req.session.user
req.session.destroy();
tokenRegisterTable[t] = null
res.clearCookie(‘name’)
res.clearCookie(‘token’)
console.log(‘logout - session:’,req.session)
res.send(u + ’ 退出登录成功!‘);
});
//一个简单的受限资源,当用户合法访问时,返回“访问受限资源,当前用户某某某“
app.get(’/restrictData’,function(req,res){
var user = req.session.user
res.send(‘访问受限资源,当前用户’+user)
});
const rand = () => new Date().getTime()+‘-’+Math.floor((Math.random()+1)*1000)
const getTokenFromSession = (user, session)=>{
var token = ‘token-’ + rand()
tokenRegisterTable[token] = user
console.log(‘tokenRegisterTable=’,tokenRegisterTable)
return token
}
//单独校验token的接口
app.get(‘/checkToken’, function(req, res){
res.send(getUserByToken(req)&&true)
});
//登录用户的校验
app.get(‘/login/:user’, function(req, res){
const user = req.params.user
console.log('user is ',user)
if(req.session.user){
token = req.cookies[‘token’]
let data = ‘您已登录,用户’+req.session.user
res.send(data)
return;
}
req.session.user = user
res.cookie(‘name’, user)
res.cookie(‘token’, getTokenFromSession(user,req.session))
console.log(‘user login :’ , user)
res.send(“登录用户=” + user)
});
PORT=12024
app.listen(PORT, function(){
console.log('app running at port ’ + PORT);
});
上面代码登录,拦截器解释过了。
### 这里补充一下登出/退出
这个接口很有必要,每次用户访问一个logout或者点击登出的时候,从服务端的令牌注册表清楚对应的令牌映射为空,同时清除用户浏览器端的token(当然这不是标准做法,特别像App,一般是会保留一个refreshToken,本文不会涉及)。
## 总结
**访问每个资源都需要带卡,而且合适的卡,才能访问相应的服务!或者有些读者能联想到健康码,本质上是一种信任授权机制!**
再次说下,为啥每次校验不直接用密码,每次请求都带密码,造成泄漏密码的风险更大!至于令牌就像一个卡一样,随时可以作废取消访问,更好管理。
本文重点展示了web平台权限认证的思想,涵盖了权限认证的令牌生成,令牌管理,请求校验的过程。
其他像令牌定制,比如有JWT令牌,令牌时效性,用户角色管理这些没有涉及。这些实现有很大细节定制。如果开发者不理解本文的核心思想,更别谈实现这些细节了。
像微服务平台会有一个统一鉴权服务,像大数据平台还有TMS,引入Kerberos,那个实现机制更加复杂。后面有机会继续讲。
对了,学委还有这个可以关注长期阅读 =>[雷学委趣味编程故事汇编](https://bbs.csdn.net/topics/618540462)
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
***93道网络安全面试题***
内容实在太多,不一一截图了
### 黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
#### 1️⃣零基础入门
##### ① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的**学习成长路线图**。可以说是**最科学最系统的学习路线**,大家跟着这个大的方向学习准没问题。
##### ② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**
**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**
**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
扫一扫
1343
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
