关于跨域请求(CSRF),session会话,token验证机制。

已于 2022-08-14 16:27:20 修改
阅读量871 收藏 2
点赞数 1
文章标签: csrf 服务器 网络
于 2022-08-14 16:26:32 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/adminwg/article/details/126332482
版权

一、CSRF

  • CSRF全拼为Cross Site Request Forgery,译为跨站请求伪造。
  • CSRF指攻击者盗用了你的身份,以你的名义发送恶意请求。
    • 包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账......
  • 造成的问题:个人隐私泄露以及财产安全。

CSRF攻击示意图

  • 客户端访问服务器时没有同服务器做安全验证

防止 CSRF 攻击

步骤

  1. 在客户端向后端请求界面数据的时候,后端会往响应中的 cookie 中设置 csrf_token 的值
  2. 在 Form 表单中添加一个隐藏的的字段,值也是 csrf_token
  3. 在用户点击提交的时候,会带上这两个值向后台发起请求
  4. 后端接受到请求,以会以下几件事件:
    • 从 cookie中取出 csrf_token
    • 从 表单数据中取出来隐藏的 csrf_token 的值
    • 进行对比
  5. 如果比较之后两值一样,那么代表是正常的请求,如果没取到或者比较不一样,代表不是正常的请求,不执行下一步操作

二、session认证(会话持久化)

        我们知道,http协议本身是一种无状态的协议,而这就意味着如果用户向我们的应用提供了用户名和密码来进行用户认证,那么下一次请求时,用户还要再一次进行用户认证才行,因为根据http协议,我们并不能知道是哪个用户发出的请求,所以为了让我们的应用能识别是哪个用户发出的请求,我们只能在服务器存储一份用户登录的信息,这份登录信息会在响应时传递给浏览器,告诉其保存为cookie,以便下次请求时发送给我们的应用,这样我们的应用就能识别请求来自哪个用户了,这就是传统的基于session认证。

流程:

但是这种基于session的认证使应用本身很难得到扩展,随着不同客户端用户的增加,独立的服务器已无法承载更多的用户,而这时候基于session认证应用的问题就会暴露出来.

基于session认证所显露的问题

Session: 每个用户经过我们的应用认证之后,我们的应用都要在服务端做一次记录,以方便用户下次请求的鉴别,通常而言session都是保存在内存中,而随着认证用户的增多,服务端的开销会明显增大。

扩展性: 用户认证之后,服务端做认证记录,如果认证的记录被保存在内存中的话,这意味着用户下次请求还必须要请求在这台服务器上,这样才能拿到授权的资源,这样在分布式的应用上,相应的限制了负载均衡器的能力。这也意味着限制了应用的扩展能力。

CSRF: 因为是基于cookie来进行用户识别的, cookie如果被截获,用户就会很容易受到跨站请求伪造的攻击。

三、基于token的鉴权机制

流程:

  • 用户使用用户名密码来请求服务器
  • 服务器进行验证用户的信息
  • 服务器通过验证,根据算法生成一个token发送给用户
  • 客户端存储token,并在每次请求时附送上这个token值
  • 服务端验证token值,并返回数据

较session的优点:

  • 它不需要在服务端去保留用户的认证信息或者会话信息,不占用服务器资源
  • 由于token是根据算法生成,基于token认证机制的应用不需要去考虑用户在哪一台服务器登录了,这就为应用的扩展提供了便利。
  • token存储在浏览器storage中,在前端需要通过js代码才能获得,避免的存储在cookie中受到CORS攻击。
simpleyako
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
jwt 原理
weixin_48334703的博客
10-05 1923
1.COOKIE使用和优缺点 1.1 cookie原理: 用户名+密码 cookie是保存在用户浏览器端,用户名和密码等明文信息 1.2 session使用原理 session是存储在服务器端的一段字符串,相当于字典的key 1.用户向服务器发送用户名和密码。 2.验证服务器后,相关数据(如用户角色,登录时间等)将保存在当前会话中。 3.服务器向用户返回session_id,session信息都会写入到用户的Cookie。 4.用户的每个后续请求都将通过在Cookie中取出session_id传给服务器
jwt的原理&现象及使用
m0_60375943的博客
11-17 3115
一:jwt原理 1.JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 例:jwt就相当于学校的出入证,只有持有出入证的人才能进行出入 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 以session来举例,session是储存在服务器的,如果是按服务器来储存数据的话,那么服务器会占用很大的一个内存,而存储在客户端就解决了这个问题 3. JWT的工作原理 传统开发对资源的访问限制利用session完成图解 jwt
JWT 加密
T525174893的博客
04-26 555
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
JWT- Java Web Token 原理
hqhe_nj的专栏
03-01 637
JWT是一个轻量级的规范,之前学习过,但一直没有什么应用。最近在做一个OAuth 2相关的项目,有用到JWT。于是,再复习一遍。JWT是什么?JSON Web Token (JWT) 是一个简洁的,自包含的,可安全的在两个模块之间传输。这是JWT.io给出的定义。简洁: JWT的规模比较小,它的报文可以通过URL或者HTTP的POST参数,甚至插入在HTTP头中。自包含:在JWT payload部...
django中csrf token验证原理
weixin_44670861的博客
12-02 478
1.django是怎么验证csrfmiddlewaretoken合法性的? 2.每次刷新页面的时候中的csrf的value都会更新,每次重复登录的时候cookie的csrf令牌都会刷新,那么这两个csrf-token有什么区别 CSRF简称跨站请求伪造 django第一次响应来自某个客户端的请求时,会在服务器端随机生成一个token,把这个token放在cookie里,然后每次POST请求都会带上...
基于token的登陆验证机制.docx
06-28
### 基于Token的登录验证机制详解 #### Session机制概览 Session是一种常见的Web应用程序技术,用于在服务器端维护用户的会话状态。当用户通过用户名和密码成功登录后,服务器端程序会在服务器上开辟一块Session...
网络】Cookie、SessionToken、JWT及CSRF攻击
Voiceu的博客
06-10 648
由于HTTP是一种无状态的协议,所以当我打开淘宝,登录后,点击跳转结账(另一个页面),服务器端就不知道现在发请求的是不是我了,就得让我再次登录来确认身份。所以每一次请求的发生都是全新的,那么就需要一个来记录身份并且验证的东西,相对于通行证一样。这就是Cookie和Session的作用, 流程 客户端首次发出请求,服务器端收到后开辟一块 Session 空间(创建了Session对象),同时生成一个 sessionId ,并通过响应头的 **Set-Cookie:JSESSIONID=XXXXXXX **命
会话管理之Session、cookie、token
trulyfeixue的博客
12-11 651
会话管理之Session、cookie、token HTTP是无状态的,每次请求都是一个新的HTTP协议,就是请求加响应,不知道是谁刚刚发了HTTP请求,每个请求都是全新的。但是随着交互式Web应用的兴起,像在线购物网站,需要登录的网站等等,马上就面临一个问题,那就是要管理会话,必须记住哪些人登录系统, 哪些人往自己的购物车中放商品,也就是说必须把每个人区分开。 一、 session 为解决上面的问题,想出的办法就是给大家发一个会话标识(session id),就是一个随机的字串,每个人收到的都不一样, 每
Node登录权限验证token验证实现的方法示例
12-17
`Token`机制已经成为一种常见的用户身份验证方法,特别是在Node.js环境中。本篇文章将详细介绍`Token`的使用场景、验证原理,以及如何在Node.js中利用JSON Web Token (JWT) 实现登录权限验证。 1. **Token的使用...
Session、Cookie和Token会话管理方式
Outengteng的博客
11-16 400
1、基于服务端session的管理 原理: 服务端session是用户第一次访问应用时,服务器就会创建的对象,代表用户的一次会话过程,可以用来存放数据。服务器为每一个session都分配一个唯一的sessionid,以保证每个用户都有一个不同的session对象。 服务器在创建完session后,会把sessionid通过cookie返回给用户所在的浏览器,这样当用户第二次及以后向服务器发送请求时候,就会通过cookie把sessionid传回给服务器,以便服务器能够根据sessionid找到与该用户对应
JwtUtil.java
04-14
主要用于单点登录,基于Jwt生成Token的工具类,包括生成和解析Token,JWT token的格式主要为header.payload.signature
JwtUtils.java
10-16
文件为jwtUtils的java版本代码,其中包含了生成token,解析token,生成秘钥的函数
JWT
xieminglu的博客
09-07 478
知识点: 1、服务端如何利用jwt生成token令牌 2、客户端如何接收jwt生成的令牌 3、与传统的session机制差异在哪 1. JWT是什么 JSON Web Token (JWT),它是目前最流行的跨域身份验证解决方案 2. 为什么使用JWT JWT的精髓在于:“去中心化”,数据是保存在客户端的。 3. JWT的工作原理 是在服务器身份验证之后,将生成一个JSON对象并将其发...
jwt原理
gwdgwd123的博客
06-29 226
package.json bin:{ 'zj':"./bin/www.js" } npm link l链接到当前哦配置的目录 www.js中写 #!/usr/bin/env node cookie session cookie的问题每次都带着浪费带宽 jwt出现了 token 签名 不能给客户端敏感信息 sha256 RSA 用来签名的密码 发给客户端也不存用户信息 ...
jwt的原理以及使用
weixin_40482816的博客
03-03 1584
1、JWT简介 JWT:Json Web Token,是基于Json的一个公开规范,这个规范允许我们使用JWT在用户和服务器之间传递安全可靠的信息。、 是一种开发的行业标准RFC 7519,用于安全的表示双方之间的声明。目前,jwt广泛的用在系统的用户认证方面,特别是前后端分离项目。 他的两大使用场景是:认证和数据交换 使用起来就是,由服务端根据规范生成一个令牌(token),并且发放给客户端。此时客户端请求服务端的时候就可以携带者令牌,以令牌来证明自己的身份信息。 作用:类似session保持登
(40.1)【JWT漏洞专题】JAVA-JWT简介、原理、组成、过程、利用、工具
04-27 1574
【专题】JAVA-JWT
SpringBoot集成JWT实现token验证
长河的博客
02-19 2852
TODO 先把坑挖在这里, 回头来填上, 这篇写的真懒, 我回改的 Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者和服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一...
JWT原理讲解
hjp_001的博客
10-28 508
JWT (JSON WEB TOKEN) jwt 有3部分组成:(head、Payload、signature) 下面我们将分三步生成JWT的值。 1. Head 头部:一般包含两部分 { "typ": "JWT", // 固定为jwt "alg": "HS256" // 加密算法 } 第一部分的值:将 Head 进行 Base64 加密就是 第一部分 的值。 2. Payload 荷载:包含公共部分与自定义部分 { // 公共部分, 非强制可以省略。 "iss": "servic
CSRF 攻击实验:Token 不存在绕过验证
最新发布
Flag少侠的博客
05-15 1833
CSRF(Cross-Site Request Forgery),也称为XSRF,是一种安全漏洞,攻击者通过欺骗用户在受信任网站上执行非自愿的操作,以实现未经授权的请求。CSRF攻击利用了网站对用户提交的请求缺乏充分验证和防范的弱点。攻击者通常通过在受信任网站上构造恶意的请求链接或提交表单,然后诱使用户点击该链接或访问包含恶意表单的页面。当用户执行了这些操作时,网站会自动发送请求,包含用户的身份验证信息,而用户并不知情。在这个示例中,攻击者可能在自己的网站上构造一个页面,包含上述代码。
基于Token的高效安全登陆验证机制解析
3. **CSRF安全风险**:由于Session依赖于浏览器cookie,一旦cookie被盗取,容易遭受跨站请求伪造(CSRF)攻击。 相比之下,**基于Token的认证机制**提供了更为现代和安全的解决方案。其流程如下: 1. 用户输入用户名...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值