安全的cookie和token机制

已于 2023-04-11 23:34:29 修改
阅读量1.4k 收藏 3
点赞数
分类专栏: 网络安全基础 文章标签: 安全 java 开发语言
于 2020-12-16 14:31:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/kekefen01/article/details/111272174
版权

java中的cookie机制:平时我们用的tomcat会实现session的生成存储。在调用HttpServletRequest的getSession(true)方法的时候,tomcat的ManagerBase类会创建session:随机数+时间+jvmid;
tomcat生成的sessionid叫做jsessionid。
session存储在tomcat的内存中,tomcat的StandardManager类将session存储在内存中,也可以持久化到file,数据库,memcache,redis等。客户端只保存cookie,而不会保存session,因为session在服务端,session销毁只能通过invalidate或超时,关掉浏览器并不会关闭session。

https://blog.csdn.net/m0_37695902/article/details/119611997

如果客户端请求的cookie中不包含JSESSIONID,服务端调用request.getSession()时就会生成并传递给客户端,此次响应头会包含设置cookie的信息

单独使用cookie或者token都是不够安全的。

单独使用自定义header的token做验证:
1、没有XSS,外部网站无法获取到token,那么可以防御csrf攻击。
2、有XSS,那么可以被窃取token,黑客可以利用token登录,或者发起csrf攻击。

单独使用cookie做验证:
1、没有XSS,没做别的措施的时候无法防御csrf攻击
2、有XSS,配置httpOnly的话比上面的安全一点,可以防止用cookie直接登录。但无法防御csrf攻击

XSS不存在的情况下,自定义token比较安全。
XSS存在的情况下,无论怎么防御,哪怕用csrftoken也是会失效的。

正确的策略:使用cookie,并配置httpOnly,可以防止被js读取cookie。设置csrftoken,防止csrf攻击。设置正确的CSP白名单策略,防止XSS后读取csrftoken。

https://danielw.cn/web-security-xss-csrf-cn#csrf

kekefen01
关注
专栏目录
Cookietoken的区别
m0_45309753的博客
03-25 4035
文章目录前言一、基于cookie的身份验证二、基于token的身份验证 前言 HTTP是一种“无状态”协议,它的每个请求都是完全独立的,每个请求中包含了处理这个请求所需的完整的数据,发送请求不会涉及到状态变更。 举个例子:你第一次去A店买了苹果,然后你第二次去买苹果时你和老板说我上次来过,能便宜点不,他说他不认识你,并且无论你去他那买多少次苹果他都不认识你。他只知道有人来买过苹果,具体是谁他不知道。 所以在浏览器向服务端请求数据的过程中就延伸出一种严重的问题–数据泄露,许多Web应用程序的安全和正常运行都
cookies,session,token都是相对安全,并不能完全防窃取
质量不太好的博客
10-28 4389
cookies,session,token都是相对安全,并不能完全防窃取
解决令牌tokenCookie,被窃取的问题
dj1955的博客
09-06 6561
令牌tokencookie中,有被窃取的可能,解决这个问题 1. 设置令牌存Cookie的时间,过期时间不宜太久 2. 用户退出认证服务时,将Cookie的令牌信息删除 3. 前面两步并没有起到有效防止令牌被窃取,关键看这一步,用户每次请求,后端都获取用户的IP,对获取到用户真实的IP再进行一次MD5加密,然后与Jwt令牌封装了登录用户的经过MD5加密的IP比对,如果不一样,令牌没有被窃取,果断拦截;说明由于IP的唯一性,保证令牌的私有;打比方说,令牌比作钥匙,钥匙被人窃取了,他就能利用这把钥匙
Cookie、Session 和 Token的使用场景和工作原理
最新发布
weixin_51522175的博客
08-21 1811
在 Web 开发中,和是常用的技术,用于管理用户的认证和状态。它们各自有不同的使用场景和工作原理。
cookie和session和token的区别和CSRF跨站伪造安全性初探(纠正很多技术博客的错误)
肖馨果爸爸的博客
05-21 870
介绍了 cookie,session 和 csrf 的机制
tokencookie的区别
热门推荐
jason121388的博客
11-05 1万+
HTTP协议本身是无状态的,所以需要一个标志来对用户身份进行验证 1、cookie 用户登录成功后,会在服务器存一个session,同时发送给客户端一个cookie,这个cookie面有唯一标识该用户的sessionID 数据需要客户端和服务器同时存储 用户再进行请求操作时,需要带上cookie,在服务器进行验证 cookie是有状态的 2、token 用户进行任何操作时,都需要带上一个token token的存在形式有很多种,header/requestbody/url 都可以 这个token只需要存在
token 应该存在 Cookie、SessionStorage 还是 LocalStorage 中?
生命不息,挖坑不止
06-28 6913
3. LocalStorage:将token存储在localStorage中的优点是,即使在浏览器关闭后,localStorage中的数据仍然存在,因此用户可以保持登录状态。2. SessionStorage:将token存储在sessionStorage中的优点是,它只在当前会话中存在,当用户关闭浏览器后,sessionStorage中的数据将被清除。这种方式的缺点是,如果用户在浏览器中打开新的标签页或窗口,那么新的页面将无法访问sessionStorage中的数据。在Web开发中,安全性是非常重要的。
详解struts2的token机制cookie来防止表单重复提交
10-19
Struts2为此提供了两种机制Token机制Cookie,这两种方法都是为了确保每个表单提交仅被处理一次。 **Struts2的Token机制** Struts2的Token机制是通过在服务器端生成一个唯一的Token,并将其附加到客户端的表单...
Cookie、Session和Token三者的区别及使用
11-13
- **Token**特别适合API认证和跨域访问的场景,具有更高的安全性和灵活性。 根据不同的应用场景和技术需求,选择合适的方案是关键。例如,在安全性要求较高的场景下,使用Token结合适当的加密算法是一种常见做法;...
Java接口测试Cookietoken原理解析
08-19
Java接口测试Cookietoken原理解析是指在Java接口测试中,Cookietoken机制的应用和原理分析。在本文中,我们将详细介绍Cookietoken机制的测试机制,并通过示例代码展示了详细的实现过程。 一、Cookie机制测试 ...
token 一般存在哪,为什么不存cookie
subsistent的博客
02-16 3258
token一般在本地存储中。token的存在本身只关心请求的安全性,而不关心token本身的安全,因为token是服务器端生成的,可以理解为一种加密技术。但如果存在cookie内的话,浏览器的请求默认会自动在请求头中携带cookie,所以容易受到csrf攻击。
Cookie的理解
liulang68的博客
10-03 405
Web应用程序是使用HTTP协议传输数据的。而HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话,无法辨别这个请求是哪一个用户发出的,这样的话就会造成数据混乱,用户的数据没有安全的保障,整个程序处于混乱的状态,这显然是不行的——于是会话跟踪技术应运而生,弥补了HTTP协议的不足之处。 会话跟踪是web程序中最常用的技术,通过跟踪用户的整个会话,来辨别是否是同一用户,用于确认用户的身份,保证用户所有的请求操作都属于同
Cookie、Session、Token、JWT
kagurawill的博客
12-30 1543
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
CookieToken 的优缺点
一只猫
01-17 817
综上所述,CookieToken 各有优缺点,选择哪种方式取决于具体的需求和安全要求。通常情况下,如果对安全性要求比较高,推荐使用 Token;如果对安全性要求不是很高,且需要简单易用的方案,可以选择 CookieCookieToken 都是常见的身份验证和会话管理机制,它们各自有优缺点,需要根据具体需求来选择合适的方案。
JWT token安全问题之窃取被泄露
weixin_43249535的博客
07-05 3024
Token 窃取被泄露:攻击者可能会通过窃取 JWT token 来冒充用户身份,从而进行恶意操作。
Cookie、Session和Token三者区别以及各自应用场景
qcy的博客
09-08 1723
综上所述,选择使用Cookie、Session还是Token取决于你的具体需求和安全要求。对于简单的状态存储和会话跟踪,通常使用Cookie和Session即可。对于需要更高级的安全性验证和授权控制,使用Token更为合适。具体选择哪种方法要根据你的项目需求、开发难度和安全性要求来决定。
说一下tokencookie中吗?
油墨香^-^的博客
10-14 2014
5. 客户端每次发送请求时都需要带着服务端签发的 token(把 token 到 HTTP 的 Header )4. 客户端接收 token 以后会把它存储起来,比如cookie 或者 localStorage 。6. 服务端收到请求后,需要验证请求带有的 token ,如验证成功则返回对应的数据。能、不设置cookie有效期、重新登录重写cookie覆盖原来的cookie。3. 验证成功后,服务端签发一个 token ,并把它发送给客户端。token一般是用来判断用户是否登录的,
Cookie、Session、Token、JWT详解
weixin_38961318的博客
09-18 1005
Cookie、Session、Token、JWT详解
Cookie & Session & Token
gc_charl的博客
05-29 855
Cookie & Session & Token Cookie: 理论上,一个用户的所有请求操作都应该属于同一个会话,而另一个用户的所有请求操作则应该属于另一个会话,二者不能混淆。 而Web应用程序是使用HTTP协议传输数据的。HTTP协议是无状态的协议。一旦数据交换完毕,客户端与服务器端的连接就会关闭,再次交换数据需要建立新的连接。这就意味着服务器无法从连接上跟踪会话。(例:用户A购买了一件商品入购物车内,当再次购买商品时服务器已经无法判断该购买行为是属于用户A的会话还是用户B的会话了)
session和cookietoken区别
03-07
Session、CookieToken是常用于Web应用中的身份验证和状态管理的机制,它们有以下区别: 1. Session(会话):Session是一种服务器端的状态管理机制。当用户第一次访问网站时,服务器会为该用户创建一个唯一的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值