使用AuthToken架构保护用户帐号验证Cookie的安全性

最新推荐文章于 2022-02-14 22:31:57 发布
最新推荐文章于 2022-02-14 22:31:57 发布
阅读量1.7k 收藏
点赞数
分类专栏: ASP.NET 文章标签: 数据库 浏览器 token 服务器 脚本 照片
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/chestnuts/article/details/6196925
版权

在项目或者网站开发中,我们很多人很多时候喜欢使用微软的FormsAuthentication类的GetAuthCookie函数生成需要在访客客户端放置的帐号校验Cookie,这个本身没问题,但是很多人会被GetAuthCookie的userName参数误导,以为传递UserID或者UserName就很安全了.而实际上,Cookie本身并不安全,如果完整复制了校验Cookie,在Cookie的允许时间范围内,黑客完全可以使用该Cookie代表的帐号做各种危害网站和应用的事情,即使设定了Cookie的过期时间,但是如果完整复制该Cookie信息,由于站点的machineKey基本不会变化,每次基于特定用户的UserID和UserName生成的Cookie实际上一直不变,那么黑客只要保留了该全部Cookie的信息,就可以一直为所欲为,不受用户登录帐号和密码变更限制,比如校内曾经发生过xss脚本注入事件,导致很多用户丢失了日记照片.所以保护帐号校验Cookie很重要.
 
解决方案是避免使用UserID和UserName这种不会变化的字段做为验证Cookie的基础,我建议使用一种我称之为AuthToken的机制,意即验证Token,(token:标志,象征),AuthToken可以随每次用户通过登录页面登录变化,保证用户的顺畅使用,同时又避免无限期使用不变的验证Cookie导致的帐号被盗现象的发生.
 
下面来解释下AuthToken的运作模式,先上数据库设计图,大家看图理解.

 

 

这张表的字段分别是
UserID:用户标识
AuthToken:验证Token
SessionID:客户端SessionID
ExpireTime:绝对过期时间
 
请注意UserID和AuthToken为合并主键,这并不是错误,而是有意的设计,大家听我解释
首先每个客户端的浏览器我们都会获得一个SessionID,这个是肯定有的,而且同一台机器不同浏览

最低0.47元/天 解锁文章
chestnuts
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
auth认证相关 --token 深入了解
洋洋洋洋洋Vc 的博客
11-23 1万+
Token 的简述 token 顾名思义就是一块令牌(临时的令牌),我们可将它理解为一种暗号,类似于对口号。这个令牌 token 是由服务器生产,一串字符串,然后会一式两份分别有客户端 与 服务器保管。 Token 的作用 token 可以免去从前标记用户登录的方式,不需要繁多的登录操作,请求端只需要携带 token 去访问服务器服务器会根据 token 认证是否成功进行区别响应。 token...
cookietoken的理解
weixin_30894583的博客
03-01 281
cookietoken的理解 注:内容为参考并组织得来,仅作为个人学习笔记 HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie 数...
Autho-Token
xiaojianlaile的博客
10-30 1452
Auth-token1.0: (1)由于http的无状态性,前端服务器需要存储每个用户对用的 session_id, 由于访问量巨大,所以服务器前端通过nginx做了集群,做(反向代理和负载均衡) 由于做了集群,每次请求发送的服务器不固定,所以使用**(沾粘性session)** (2)session-id存储到缓存服务器上去,但是redis可能也会挂了所以redis也需要做集群。 (3)问题:如果不保存sessionid,不做验证就不知道是不是系统内部合法用户,容易被攻击 解决方案:用户登录成功,返还一个
WebApi_AuthToken
08-06
如何基于Microsoft.Owin.Security.OAuth使用Client Credentials Grant授权方式给客户端发放access token? Client Credentials Grant的授权方式就是只验证客户端(Client),不验证用户(Resource Owner),只要客户端通过验证就发access token。举一个对应的应用场景例子,比如我们想提供一个“获取网站首页最新博文列表”的WebAPI给客户端App调用。由于这个数据与用户无关,所以不涉及用户登录与授权,不需要Resource Owner的参与。但我们不想任何人都可以调用这个WebAPI,所以要对客户端进行验证,而使用OAuth中的 Client Credentials Grant 授权方式可以很好地解决这个问题。
C#WEB用户令牌TOKEN验证防止HTTPGETPOST等提交
09-24
本技术介绍将深入探讨如何使用C#实现令牌验证机制,并结合Nginx集群与SSL证书来增强WebAPI的安全性。 首先,让我们理解什么是令牌验证。令牌验证是一种身份验证方法,它通过在客户端和服务器之间交换一个唯一的、不...
Django如何使用jwt获取用户信息
09-17
与传统的Cookie和Session相比,JWT提供了更好的可扩展性和安全性,尤其适用于分布式系统。 JWT由三部分组成:头部(Header)、载荷(Payload)和签证(Signature)。头部和载荷通常经过Base64编码,然后整个JWT由这...
nexus-gitlab-token-auth-plugin:使用 Gitlab 用户令牌的 Nexus 身份验证
06-29
使用 Gitlab 用户令牌的 Nexus 身份验证 安装 在 sonatype-work/nexus/plugin-repository 下解压包 (target/nexus-gitlab-token-auth-plugin-0.1.0-SNAPSHOT-bundle.zip) 将sample/gitlab-plugin.xml复制并编辑到:...
Spring Boot使用AOP实现REST接口简易灵活的安全认证的方法
08-26
安全认证是保护 REST 接口的重要一环,通过使用 AOP,可以实现灵活的安全认证机制。 一、Authorized 注解 首先,我们需要定义一个 Authorized 注解,用于标志是否需要安全认证。以下是 Authorized 注解的代码: `...
在 composer 下载需要的东西时候 需要auth token 验证 解决方案
落笔半海的博客
10-16 1693
在 composer 下载需要的东西时候 需要auth token 验证 Authentication required (packagist.phpcomposer.com): 需要提示用户名密码 我的第一反应,这东西怎么这么先进了,还要这东西不过莫名其妙的是这个账号密码是啥东西我tm怎么知道啊     有用的回答: 修改镜像源正解,如果不能翻墙的话可以试试这个: composer co...
php token函数,php - 设置auth_token的函数 - 堆栈内存溢出
weixin_35252979的博客
03-24 274
在我的表单中,我有一个隐藏字段:此值也存储在会话和变量中:$_SESSION['auth_token'] = hash('sha256', rand() . time() . $_SERVER['HTTP_USER_AGENT']); # TODO: put this in a function$auth_token = $_SESSION['auth_token'];提交表单后,将比较两个值...
基于Token的WEB后台认证机制
weixin_30845171的博客
06-22 4287
几种常用的认证机制 HTTP Basic Auth HTTP Basic Auth简单点说明就是每次请求API时都提供用户的username和password,简言之,Basic Auth是配合RESTful API 使用的最简单的认证方式,只需提供用户名密码即可,但由于有把用户名密码暴露给第三方客户端的风险,在生产环境下被使用的越来越少。因此,在开发对外开放的RESTful API时,尽量避免采...
android密码解锁/指纹解锁返回的authToken深度解剖
baron-周贺贺-代码改变世界ctw
08-07 4646
目录1、authToken是什么2、authToken代码精读(1)、AddAuthenticationToken(2)、FindAuthorization(3)、AddAuthenticationToken 1、authToken是什么 在android中authToken是一串标致调用者身份的数据,是一个结构体. 在gatekeeper和fingerprint的鉴权成功后(verify成功后),都会返回一个authToken给android,然后加入到auth_token_table表中, 该表最大存储
【实战】cookie+token实现网站『持久登录』
小管打天下的博客
09-04 1667
一、基础概念 (1)正确获取复选框数据 javascript <input type="checkbox" name="body[]" value="fb"/> 中括号的作用是告诉后端它是一个数组 (2)语义化 因为HTML不具备语义化所以HTML5出了很多标签 同时举例,input将type值设置为submit/reset也可以实现提交和重置,但是因为不够具备语义化所以将用button来实现表单的提交和重置 (3)合法性 合法性的意思并不是数据长度够不够,而是制定了一套规则,提交的数据是否符
使用token进行验证登录
m0_53419397的博客
11-01 1476
后台 node 为user设置简单的model: 注册接口 router.post('/register',(req,res)=>{ let Info = req.body User.findOne({username:Info.user}).then((result)=>{ if(result){ return res.status(400).json({msg:'用户已存在'}) }else{
JWT以及TokenAuth
m0_47944994的博客
02-14 2802
JWT以及TokenAuth
详解android gatekeeper/fingerprint中的authToken
baron-周贺贺-代码改变世界ctw
08-06 2916
文章目录1、authToken是什么?2、authToken的填充3、authToken的保存 1、authToken是什么? 在密码或指纹验证通过后(verify通过后),需返回一个authToken值,然后交由keystore保持起来. 以下是gatekeeper的verify产生authToken和调用keystore保存authToken的流程图: 2、authToken的填充 在gatekeeper TA的verify()通过后,对填充authToken结构体,然后再返回。 (hardware/l
基于jwt的 Token Auth 认证方式的基本使用
u010689849的博客
07-09 3236
1.jwt简介 JSON Web Token(JWT)是一个非常轻巧的规范。这个规范允许我们使用JWT在用户服务器之间传递安全可靠的 信息。在Java世界中通过JJWT实现JWT创建和验证。 2.jjwt的入门使用 2.1token的创建和解析 2.1.1引入依赖 <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> &.
spring security oauth其中的/oauth/token做了哪些
u013911102的博客
09-11 6186
项目场景: 问题描述: 提示:这里描述项目中遇到的问题: 例如:数据传输过程中数据不时出现丢失的情况,偶尔会丢失一部分数据 APP 中接收数据代码: 原因分析: 提示:这里填写问题的分析: 例如:Handler 发送消息有两种方式,分别是 Handler.obtainMessage()和 Handler.sendMessage(),其中 obtainMessage 方式当数据量过大时,由于 MessageQuene 大小也有限,所以当 message 处理不及时时,会造成先传的数据被覆盖,进而.
Spring Security怎么使用JWT来验证用户的身份和权限
最新发布
04-07
Spring Security可以使用JWT(JSON Web Token)来验证用户的身份和权限。 1.添加JWT依赖项:在pom.xml文件中添加以下依赖项: ``` <dependency> <groupId>io.jsonwebtoken</groupId> <artifactId>jjwt</artifactId> <version>0.9.1</version> </dependency> ``` 2.创建JWT工具类:创建一个JWT工具类来生成和验证JWT。 ``` import io.jsonwebtoken.Jwts; import io.jsonwebtoken.SignatureAlgorithm; import org.springframework.security.core.Authentication; import org.springframework.security.core.userdetails.User; import org.springframework.stereotype.Component; import java.util.Date; @Component public class JwtUtils { private final String JWT_SECRET = "mysecretkey"; private final int JWT_EXPIRATION_MS = 86400000; public String generateJwtToken(Authentication authentication) { User user = (User) authentication.getPrincipal(); return Jwts.builder() .setSubject((user.getUsername())) .setIssuedAt(new Date()) .setExpiration(new Date((new Date()).getTime() + JWT_EXPIRATION_MS)) .signWith(SignatureAlgorithm.HS512, JWT_SECRET) .compact(); } public boolean validateJwtToken(String authToken) { try { Jwts.parser().setSigningKey(JWT_SECRET).parseClaimsJws(authToken); return true; } catch (Exception e) { e.printStackTrace(); } return false; } public String getUsernameFromJwtToken(String token) { return Jwts.parser() .setSigningKey(JWT_SECRET) .parseClaimsJws(token) .getBody().getSubject(); } } ``` 3.创建JWT过滤器:创建一个JWT过滤器来验证JWT并设置用户的身份和权限。 ``` import org.springframework.beans.factory.annotation.Autowired; import org.springframework.security.authentication.UsernamePasswordAuthenticationToken; import org.springframework.security.core.context.SecurityContextHolder; import org.springframework.security.core.userdetails.UserDetails; import org.springframework.security.web.authentication.WebAuthenticationDetailsSource; import org.springframework.stereotype.Component; import org.springframework.web.filter.OncePerRequestFilter; import com.example.demo.security.services.UserDetailsServiceImpl; import io.jsonwebtoken.ExpiredJwtException; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.http.HttpServletRequest; import javax.servlet.http.HttpServletResponse; import java.io.IOException; @Component public class JwtAuthTokenFilter extends OncePerRequestFilter { @Autowired private JwtUtils jwtUtils; @Autowired private UserDetailsServiceImpl userDetailsService; @Override protected void doFilterInternal(HttpServletRequest request, HttpServletResponse response, FilterChain chain) throws ServletException, IOException { try { String jwt = parseJwt(request); if (jwt != null && jwtUtils.validateJwtToken(jwt)) { String username = jwtUtils.getUsernameFromJwtToken(jwt); UserDetails userDetails = userDetailsService.loadUserByUsername(username); UsernamePasswordAuthenticationToken authentication = new UsernamePasswordAuthenticationToken(userDetails, null, userDetails.getAuthorities()); authentication.setDetails(new WebAuthenticationDetailsSource().buildDetails(request)); SecurityContextHolder.getContext().setAuthentication(authentication); } } catch (ExpiredJwtException e) { logger.error("JWT token is expired: {}", e.getMessage()); } catch (Exception e) { logger.error("Cannot set user authentication: {}", e.getMessage()); } chain.doFilter(request, response); } private String parseJwt(HttpServletRequest request) { String headerAuth = request.getHeader("Authorization"); if (headerAuth != null && headerAuth.startsWith("Bearer ")) { return headerAuth.substring(7, headerAuth.length()); } return null; } } ``` 4.配置Spring Security:在Spring Security配置中添加JWT过滤器。 ``` import org.springframework.beans.factory.annotation.Autowired; import org.springframework.context.annotation.Bean; import org.springframework.context.annotation.Configuration; import org.springframework.security.authentication.AuthenticationManager; import org.springframework.security.authentication.dao.DaoAuthenticationProvider; import org.springframework.security.config.annotation.authentication.builders.AuthenticationManagerBuilder; import org.springframework.security.config.annotation.method.configuration.EnableGlobalMethodSecurity; import org.springframework.security.config.annotation.web.builders.HttpSecurity; import org.springframework.security.config.annotation.web.configuration.EnableWebSecurity; import org.springframework.security.config.annotation.web.configuration.WebSecurityConfigurerAdapter; import org.springframework.security.core.userdetails.UserDetailsService; import org.springframework.security.crypto.bcrypt.BCryptPasswordEncoder; import org.springframework.security.web.authentication.UsernamePasswordAuthenticationFilter; import com.example.demo.security.jwt.JwtAuthTokenFilter; import com.example.demo.security.services.UserDetailsServiceImpl; @Configuration @EnableWebSecurity @EnableGlobalMethodSecurity( // securedEnabled = true, // jsr250Enabled = true, prePostEnabled = true) public class WebSecurityConfig extends WebSecurityConfigurerAdapter { @Autowired private JwtAuthTokenFilter jwtAuthTokenFilter; @Autowired private UserDetailsServiceImpl userDetailsService; @Autowired private BCryptPasswordEncoder bCryptPasswordEncoder; @Bean public DaoAuthenticationProvider authenticationProvider() { DaoAuthenticationProvider authProvider = new DaoAuthenticationProvider(); authProvider.setUserDetailsService(userDetailsService); authProvider.setPasswordEncoder(bCryptPasswordEncoder); return authProvider; } @Override public void configure(AuthenticationManagerBuilder authenticationManagerBuilder) throws Exception { authenticationManagerBuilder.userDetailsService(userDetailsService).passwordEncoder(bCryptPasswordEncoder); } @Bean @Override public AuthenticationManager authenticationManagerBean() throws Exception { return super.authenticationManagerBean(); } @Bean public BCryptPasswordEncoder bCryptPasswordEncoder() { return new BCryptPasswordEncoder(); } @Override protected void configure(HttpSecurity http) throws Exception { http.csrf().disable() .authorizeRequests() .antMatchers("/api/auth/**").permitAll() .anyRequest().authenticated(); http.addFilterBefore(jwtAuthTokenFilter, UsernamePasswordAuthenticationFilter.class); } } ``` 现在,Spring Security将使用JWT来验证用户的身份和权限。您可以在需要身份验证和授权的端点上使用Spring Security注释,例如@PreAuthorize和@PostAuthorize。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值