Web 应用最安全的会话实现和保持方式是什么?

最新推荐文章于 2024-05-03 17:58:21 发布
最新推荐文章于 2024-05-03 17:58:21 发布
阅读量917 收藏 22
点赞数 8
分类专栏: 身份认证与授权 后端系列知识讲解 文章标签: 前端 安全 会话 后端
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/luduoyuan/article/details/138044378
版权

目录

什么是会话管理

保障会话安全的关键

Set-Cookie header 头

基于 Set-Cookie 实现会话管理示例

什么是会话管理

什么是会话管理?

会话管理是一种在无状态的 HTTP 协议上保持用户状态的技术, Web 服务器通过会话管理可以识别和跟踪用户的请求。

为什么需要会话管理?

由于 HTTP 协议本身不保存状态信息,所以服务器需要一种机制来区分不同用户的请求,以及在多个请求之间保持用户的状态信息。

会话创建

会话信息应该由服务器端创建,服务器端创建会话 ID 以及会话信息后存储起来,将会话 ID 返回给 Web 客户端存储。会话 ID应 该是随机的、不可预测的,并且有足够的熵。会话 ID 通常是通过安全的随机数生成算法生成。客户端和服务器通信的时候带上会话 ID,这样服务器就可以识别和跟踪用户的请求了。

文章持续更新中,微信搜索【路多辛】阅读更多优质文章

保障会话安全的关键

可以看出会话管理安全的关键主要在于两个点:

  • 客户端和服务端需要安全通信, 以保障会话 ID 的传输安全;
  • Web 端需要做安全存储会话 ID,不能被 JS 脚本任意读取,以防止 CSS 攻击。

针对第一点,可以使用 HTTPS 协议来解决。针对第二点,可以使用 Set-Cookie 机制来解决。

Set-Cookie 是 HTTP 协议的一个 header 字段,由服务器端返回给客户端(通常是浏览器),用于在客户端创建一个 cookie。Cookie 通常用于保存用户会话信息。Set-Cookie 的工作机制如下:

  1. 服务器响应设置 Cookie:
    当服务器希望在客户端设置一个 cookie 时,在 HTTP 响应中包含一个 Set-Cookie header 头,包含 cookie 的名称、值以及一些可选的属性,比如 Expires、Max-Age、Domain、Path、Secure 和 HttpOnly 等。
  2. 客户端存储 Cookie:
    浏览器接收到 Set-Cookie header 头后,会根据服务器指定的属性存储这个 cookie。如果设置了 Expires 或 Max-Age 属性,浏览器会根据这些值决定 cookie 的有效期。如果没有设置这些属性,cookie 通常为会话 cookie,意味着当浏览器关闭时 cookie 会被删除。
  3. 客户端发送 Cookie:
    一旦 cookie 被存储,浏览器会在随后对同一服务器的每个请求中自动包含这个 cookie,前提是这些请求匹配了 cookie 的 Domain 和 Path 属性。
  4. 服务器读取 Cookie:
    服务器可以通过读取请求中的 Cookie header 头来获取之前设置的 cookie 信息。这样服务器就可以恢复用户的会话状态,如登录信息、用户偏好设置等。

Set-Cookie header 头

Set-Cookie 的值一般包含以下几个部分:

  • name=value:指定 cookie 的名称和值。
  • Expires:定义了 cookie 的过期时间,是一个具体的日期和时间。在这之后,cookie 将不再被存储或发送。如果没有设置 Expires,cookie 将是一个会话 cookie,意味着将在浏览器关闭时被删除。
  • Max-Age:指定从当前时间开始,cookie 存活的秒数。如果同时指定了 Expires 和 Max-Age,Max-Age 的优先级更高。
  • Domain:指定哪些域名可以接收 cookie。如果未指定,默认为当前文档的域名。如果指定了 Domain,那么子域名也会包含这个 cookie。
  • Path:指定了 cookie 的适用路径。只有请求的路径与此匹配时,cookie 才会被发送。
  • Secure:这个指令告诉浏览器只在 HTTPS 连接时发送 cookie。
  • HttpOnly:限制 JavaScript 通过 Document.cookie API 访问 cookie,有助于减少跨站脚本攻击(XSS)的风险。
  • SameSite:限制第三方请求中 Cookie 的发送。SameSite 可以设置为以下几个值:
  • Strict: Cookie 只会在请求是从同一站点发起的时候发送。
  • Lax: Cookie 对于导航到目标网站的 GET 请求会被发送,例如用户通过链接导航到网站。
  • None: 只有在设置了 Secure 属性的情况下,Cookie 才会在所有请求中被发送,包括跨站点请求。

一个典型的 Set-Cookie 信息例子:

Set-Cookie: name=value; Path=/; Domain=xx.com; Max-Age=3600; Secure; HttpOnly

基于 Set-Cookie 实现会话管理示例

原理如如下:

实现示意图

HTML 示例代码如下:

<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>Set Cookie Example</title>
</head>
<body>
<form action="/submit" method="post">
    <label for="username">账号:</label>
    <input type="text" id="username" name="username">
    <label for="password">密码:</label>
    <input type="text" id="password" name="password">
    <input type="submit">
</form>
</body>
</html>

Golang 示例代码如下:

package main

import (
	"fmt"
	"net/http"
	"time"
)

// 处理根路径的请求,返回 HTML 页面
func rootHandler(w http.ResponseWriter, r *http.Request) {
	http.ServeFile(w, r, "index.html")
}

// 处理表单提交,设置 cookie
func submitHandler(w http.ResponseWriter, r *http.Request) {
	if r.Method == "POST" {
		// 解析表单数据
		if err := r.ParseForm(); err != nil {
			http.Error(w, "Error parsing the form", http.StatusBadRequest)
			return
		}

		// 获取表单中的 sessionId 值
		username := r.FormValue("username")
		password := r.FormValue("password")
		fmt.Println(username, password)

		//校验账号密码,本例为举例目的省略此逻辑

		// 创建一个 cookie
		expirationTime := time.Now().Add(1 * time.Hour) // 设置 cookie 有效期为 1 小时
		cookie := http.Cookie{
			Name:     "token",
			Value:    "xxxxxx", //此处先写死方便举例,自己实现千万不要写死
			Expires:  expirationTime,
			Path:     "/",
			HttpOnly: true, // 设置 HttpOnly 标志
		}

		// 将 cookie 添加到响应中
		http.SetCookie(w, &cookie)

		// 重定向到根路径,或者显示一些消息
		http.Redirect(w, r, "/", http.StatusFound)
	}
}

func main() {
	http.HandleFunc("/", rootHandler)
	http.HandleFunc("/submit", submitHandler)

	// 启动 HTTP 服务器
	http.ListenAndServe(":8080", nil)
}

文章持续更新中,微信搜索【路多辛】阅读更多优质文章

路多辛
关注
  • 8
    点赞
  • 22
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 2
    评论
专栏目录
腾讯云Web应用防火墙有什么用?Web应用防火墙是怎么防御网络攻击的?
云计算分享家
08-30 3440
腾讯云 Web 应用防火墙是一款专业为网站及 Web 服务的一站式智能防护平台,帮助企业组织应对网站及 Web 业务面临的 Bot 爬虫恶意爬取、漏洞暴露、Web 入侵及数据泄露、网站被篡改或植入、域名非法劫持等带来的业务安全风险问题。其防护原理是通过将原本直接访问 Web 业务站点的流量先引流到腾讯云 Web 应用防火墙防护集群,经过云端威胁清洗过滤后再将安全流量回源到业务站点,从而确保到达用户业务站点的流量安全可信。腾讯云web应用防火墙产品直达链接:点击进入腾讯云 Web 应用防火墙为用户输送顶级安全
PHP和MySQL Web开发第4版pdf以及源码
10-13
第16章 Web应用安全 16.1处理安全性问题的策略 16.1.1 以正确心态为开始 16.1.2 安全性和可用性之间的平衡 16.1.3 安全监视 16.1.4 基本方法 16.2 识别所面临的威胁 16.2.1 访问或修改敏感数据 16.2.2 数据丢失或...
什么是Web应用程序防火墙?
weixin_43394724的博客
05-28 4710
Web应用程序防火墙/WAF简介 Web应用程序防火墙(WAF)为来自恶意安全攻击(例如SQL注入,跨站点脚本(XSS))的在线服务提供Web安全。 WAF安全性可以检测并过滤掉可能会使在线应用程序降级,损害或使在线应用程序遭受拒绝服务(DoS)攻击的威胁。 WAF安全性会在HTTP流量到达应用程序服务器之前对其进行检查。它们还可以防止未经授权从服务器传输数据。 近年来,Web应用程序安全性变得越来越重要,尤其是在Verizon Data Breach调查报告中将Web应用程序攻击列为最常见的破坏原因之后
Web应用安全————Shiro 解决会话固定漏洞
Morty的技术乐园
09-21 2650
引言 承接上一篇《Web应用安全————账号冻结与 Session 实时失效》关于 session 的学习,本篇博客聚焦如何通过 shiro 解决会话固定导致的漏洞问题。 首先,没怎么接触过应用安全方面的小伙伴可能会发起疑问 - 什么是会话固定? 简单来说,系统在登录前和登录后使用同一个 session id,就是会话固定,默认的session 管理机制都是会话固定的。会话固定可能会造成“会...
WebWeb应用程序的工作原理
等风来
08-27 6527
Web应用程序是一种通过网络(通常是互联网)访问的、具有交互性和动态功能的软件应用。与普通网页相比,Web应用程序具有以下区别:1.Web应用程序通过与用户进行双向通信,实现了更高级的交互性。用户可以与应用程序进行数据输入、提交表单、执行操作等,而不仅仅是被动地查看静态内容。Web应用程序可以根据用户的输入和行为动态地响应和改变。2.Web应用程序能够根据用户的请求和服务器端的处理,在客户端动态生成内容。相比之下,普通网页是静态的,其内容在服务器上预先生成,并以相同的形式发送给所有用户。3.
web基础:会话
sssxlxwbwz的博客
03-18 1448
一、会话概述 HttpSession对象可以保存跨同一个客户多个请求的会话状态。即与一个特定客户的整个会话期间,HttpSession会持久存储。对于会话期间客户做的所有请求,从中得到的所有信息,都可以使用HttpSession对象保存。 会话的工作方式: 此时,假设又有一个客户访问该网站: 上图展示了会话是如何工作的,但是,有一个问题,Http协议是无状态协议,对容器来说,每个请求都来自于一个新的客户,那么容器是怎么区分不同的客户呢? 1.1...
Web应用安全:HTTPCookie的作用.pptx
06-17
但是,在应用程序中,保持客户端的状态却是相当常见的需求。 比如,在线购物网站中的“购物车”就是一个典型的案例。购物车记住了用户在哪些商品上点击了“购买”按钮。 另外,记住用户登录后的认证状态也是一种常见...
WEB安全测试
07-02
1.4 Web应用安全测试 25 1.5 方法才是重点 26 第2章 安装免费工具 29 2.1 安装Firefox 29 2.2 安装Firefox扩展 30 2.3 安装Firebug 31 2.4 安装OWASP的WebScarab 32 2.5 在Windows上安装Perl及其软件包 33 2.6 在...
PHP和MySQL Web开发第4版
08-13
第16章 Web应用安全 16.1处理安全性问题的策略 16.1.1 以正确心态为开始 16.1.2 安全性和可用性之间的平衡 16.1.3 安全监视 16.1.4 基本方法 16.2 识别所面临的威胁 16.2.1 访问或修改敏感数据 16.2.2 数据丢失或...
PHP和MySQL WEB开发(第4版)
05-31
第16章 Web应用安全 16.1处理安全性问题的策略 16.1.1 以正确心态为开始 16.1.2 安全性和可用性之间的平衡 16.1.3 安全监视 16.1.4 基本方法 16.2 识别所面临的威胁 16.2.1 访问或修改敏感数据 16.2.2 数据丢失或...
element-ui的bug记录
nick_zhang的博客
04-29 386
7.el-dialog组件在关闭时,会触发子组件的created/mounted生命周期。原因是当visible改变为false,即关闭dialog的时候,如果用户设置了destroyOnClose=true,则执行key++;key是绑定在较外层的div上的,key值的变化会导致这个div重新渲染。6.select 的 popper-append-to-body ,默认值为true;dialog的append-to-body,默认值为false;3.element表格前端分页。
Web】CTFSHOW 中期测评刷题记录(1)
uuzeray的博客
05-02 1077
访问./cache/6a992d5529f459a44fee58c733255e86.php,命令执行拿flag。login.php是在./templates下的,而./flag.php与./templates均为web目录。注意到用./template/error.php中存在{{username}},可以用其cache来写马。这时候重开下靶机再去读./templates/index.php,发现是给了提示的。访问./config/settings.php,命令执行拿到flag。
判断前端入参是否空否则提示前端写法
qq_39306234的博客
04-28 272
前端先声明一个变量,用于alert判断。在templeat中定义一个提示语句。然后在点击事件时判断一下是否展示。
前端调用WebSocket协议接口获取数据
m0_56023096的博客
04-29 262
createWs("测试数据", (res) => {
菜鸡学习netty源码(三)—— Reactor 模型
最新发布
u013127325的博客
05-03 332
我们先进行理解一下Reactor模型,知道什么是Reactor模型,它有什么特别之处。我们先来简单介绍一下这个Reactor模型。Reactor模型的核心思想:就是将所关注的I/O事件进行注册到一个多路复用器上,一旦有I/O事件的发生,将事件进行分发到对应的事件处理器中,执行I/O事件对应的函数。Rector模型有3中模型的实现:单Reactor单线程模型,单Reactor多线程模型,多Reactor多线程模型。
Element-UI库:Web前端开发的强大助力
一个做过前端开发的产品经理,经历过睿智产品的折磨导致脱发之后,励志要翻身"农奴"把歌唱,一边打入敌人内部一边持续提升自己,为我们广大开发同胞谋福祉,坚决抵制睿智产品折磨我们码农兄弟!
05-03 729
定义与背景Element-UI是一套为开发者、设计师和产品经理准备的基于Vue 2.0的桌面端UI组件库。它遵循Material Design设计规范,提供了一套丰富的组件和工具,帮助开发者快速构建美观、功能强大的Web应用。Element-UI由饿了么前端团队开发和维护,已经成为国内前端开发者广泛使用的UI库之一。特点与优势(1)丰富的组件库:Element-UI提供了包括按钮、表单、布局、导航、通知等在内的多种常用组件,满足了大部分Web应用的开发需求。
vue如何如何组合组件并通讯
codemami的博客
05-02 723
在Vue中,组件的组合和通讯是构建复杂应用的关键部分。Vue提供了多种方式来组合组件,并允许组件之间进行通讯。-- 子组件 ChildComponent.vue -->-- 子组件 ChildComponent.vue -->通过自定义事件($emit)来通知父组件。通过props属性向子组件传递数据。子组件通过props来接收数据。-- 父组件 -->-- 父组件 -->
彻底理清防抖和节流(前端性能优化)
夏日漱石的博客
04-28 828
前端有很多性能优化的方式,面对用户与网页的频繁交互,如输入框打字、按钮点击、滚动事件等,我们如何确保应用的响应既迅速又高效? 大家应该都简单了解防抖和节流本质上就是优化这种高频率执行代码的手段,那么他们之间有什么区别呢?应该如何正确根据具体的场景来选择使用呢?
[前端] Bearer令牌
好习惯成就伟大
04-28 149
Bearer令牌的安全性依赖于令牌的保密性和传输的安全性。因为任何拥有令牌的人都能访问资源,所以必须确保在传输过程中使用HTTPS来防止中间人攻击,并且存储时也要妥善保管,避免令牌泄露。此外,由于Bearer令牌的这一特点,相比其他类型如MAC(Message Authentication Code) tokens,它在安全性上要求更高的保护措施。服务器接收到请求后,会验证令牌的有效性(比如检查令牌是否过期、是否被撤销等),然后决定是否允许访问请求的资源。在HTTP请求中,Bearer令牌通常放在。
什么是Spring Security?核心功能
07-28
Spring Security是一个基于Spring框架的安全性解决方案,用于保护Java应用程序的安全性。它提供了一系列的功能来管理身份验证、授权其他安全性相关的任务。 Spring Security的核心功能包括: 1. 身份验证(Authentication):Spring Security提供了多种身份验证机制,包括基于表单、基于HTTP基本认证、基于LDAP等。它允许开发人员通过配置来定义身份验证规则,并且支持自定义身份验证逻辑。 2. 授权(Authorization):Spring Security支持细粒度的授权控制,可以基于用户、角色或其他自定义规则来限制访问资源。开发人员可以使用注解或配置来定义授权规则,并且可以通过Spring表达式语言实现更复杂的授权逻辑。 3. 攻击防护(Attack Protection):Spring Security提供了一系列的机制来防止常见的Web应用程序攻击,例如跨站点请求伪造(CSRF)、跨站点脚本攻击(XSS)等。它通过内置的过滤器和安全头部等功能来增强应用程序的安全性。 4. 会话管理(Session Management):Spring Security可以管理用户的会话,并提供了多种会话管理策略,例如基于cookie的会话、基于URL重写的会话等。它还支持集群环境下的会话复制和无状态会话。 5. 记住我(Remember Me)功能:Spring Security提供了"记住我"功能,允许用户在一段时间内保持登录状态,而无需重新输入凭证。这对于那些频繁访问应用程序的用户来说非常方便。 总的来说,Spring Security提供了一套完整的安全性解决方案,帮助开发人员轻松地保护和管理Java应用程序的安全性。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

路多辛

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值