Http Only Cookie保护AccessToken

最新推荐文章于 2024-05-16 09:23:29 发布
最新推荐文章于 2024-05-16 09:23:29 发布
阅读量518 收藏
点赞数
文章标签: java cookie python jwt session
原文链接:https://mp.weixin.qq.com/s?__biz=MzAwNTMxMzg1MA==&mid=2654086228&idx=6&sn=c619e752f761772f16b2031f45ec67b4&chksm=80d80001b7af8917d3b1aaf2fd50e282bef5b82c6825f8185c23c2b570f6fbb4d1d3d18ea7f6&scene=126&&sessionid=0
版权
【导读】JWT认证方式目前已被广泛使用,一直以来我们将token放在请求头中的Authorization中,若通过此种方式,一旦token被恶意窃取,攻击者可肆意对用户可访问资源进行任意索取

我们大多都是通过登录成功后,响应AccessToken,然后由前端将token存储在相关Storage中,然后每次将其放请求头而认证请求,由于token是极其敏感信息,所以我们不能将其交由前端去处理,而应由后台获取对前端不可见

对安全有较高要求的平台,我们通过Http Only Cookie来解决token恶意窃取问题

Http Only Cookie

Http Only Cookie简言之则是将相关信息响应时存储在Cookie中,而客户端脚本无法访问,每次请求时,则将自动携带所有信息到服务器。例如,京东存储相关信息

aea9cd1b650575167db1a4d47d39999b.png

接下来我们看看在.NET Core中如何将AccessToken以Http Only方式存储在Cookie中

[AllowAnonymous]
[HttpGet("api/test/get")]
public IActionResult Get()
{
    Response.Cookies.Append("x-access-token", GenerateToken(),
      new CookieOptions()
      {
        Path = "/",
        HttpOnly = true
      });

    return Ok();
}

如上,我们模拟登录成功,并不返回AccessToken,而是将其写入到响应头中,上述Cookie选项HttpOnly为true即表示客户端脚本不可访问

9aaa4fdcf9ce5b96f89202518c4f61a7.png

此时我们来访问如下需认证接口

[HttpGet("api/test/say")]
public string Say()
{
   return "Hello World";
}

d7d16a93a14086b90a0884f4d0e3f10e.png

用过JWT的童鞋都知道,标准模式则是将AccessToken写入到Authorization中,即请求头【Authorization: Bearer ......】,那么上述是如何认证成功而请求到接口的呢?

当我们添加JWT认证时,每次请求在其对应事件OnMessageReceived中将自动获取请求头Authorization中的值,将其赋值给context.Token

services.AddAuthentication(JwtBearerDefaults.AuthenticationScheme)
.AddJwtBearer(options =>
{
   ......
   options.Events = new JwtBearerEvents
    {
        OnMessageReceived = context =>
        {
          //Bearer Token
          context.Token = "";  
          return Task.CompletedTask;
        }
    };
});

你问我是怎么知道的,我是猜的吗,当然不是,丢出官方源码就知道了,直接找到JWT如何处理认证则一目了然

protected override async Task<AuthenticateResult> HandleAuthenticateAsync()
{
    string token = null;

    // Give application opportunity to find from a different location, adjust, or reject token
    var messageReceivedContext = new MessageReceivedContext(Context, Scheme, Options);

    // event can set the token
    await Events.MessageReceived(messageReceivedContext);
    if (messageReceivedContext.Result != null)
    {
      return messageReceivedContext.Result;
    }

    // If application retrieved token from somewhere else, use that.
    token = messageReceivedContext.Token;

    if (string.IsNullOrEmpty(token))
    {
      string authorization = Request.Headers[HeaderNames.Authorization];

      // If no authorization header found, nothing to process further
      if (string.IsNullOrEmpty(authorization))
      {
        return AuthenticateResult.NoResult();
      }
    }
   ....... 
}

到这里我们知道了自动获取Token的原理,我们修改了Token存储方式,照葫芦画瓢就好,如此将覆盖默认标准模式,如下:

OnMessageReceived = context =>
{
   var accessToken = context.Request.Cookies["x-access-token"];

   if (!string.IsNullOrEmpty(accessToken))
   {
      context.Token = accessToken;
   }

   return Task.CompletedTask;
}

从分析自动获取Token原理,我们也可知道,若与第三方对接,依然可以使用请求头Authorization标准模式认证,因为Cookie为空,再次获取Authorization值

注意:发现若将前端未置于wwwroot下,即完全前后分离,涉及到跨域的情况下,比如使用的是axios封装请求,那么应该必须在请求头中添加【withCredentials:true 】,否则使用Http Only将无效,出现401

额外意外发现一个很有意思的问题,未深入研究,这里当做小知识了解下就好,或许是我自以为发现新大陆了呢77dc3d478f18f31a6360ed4f52dc651f.png

当我们创建AccessToken时,都会设置一个过期时间,我们知道此过期时间肯定不会设置过长,但是若在比如移动端微信小程序中,若设置时间不长,必然要考虑刷新Token问题,为了懒一点,我们将Token设置为永不过期,那么JWT支持吗?

当然支持,只不过根据我刚好尝试了几次,找到了JWT永不过期的上限,最大只能是16年,若超过此临界点,比如17年,如下:

51326519432237c24777b3288cc49685.png

将会出现401,具体错误如下:

f3afa83e5377bebba0cc11a9ce7499b8.png

了解,了解就好,也没啥鸟用,我也是经常会瞎想,比如考虑某些可能存在的极限情况

dotNET跨平台
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
乐橙accessToken,userToken,通过http请求的获取
12-06
5. 使用令牌:每次需要访问受保护的资源时,应用都要携带accessToken发起HTTP请求,而userToken可能会用在每个会话的开始或者需要验证用户身份的场景。 6. 刷新令牌:当accessToken过期时,应用通常可以使用之前获取...
AccessToken.rar
06-19
AccessToken是授权服务器颁发给客户端的令牌,允许客户端在一定权限范围内访问受保护的资源。在OAuth框架下,用户向应用授权,应用通过获取AccessToken来代表用户进行操作,而不是直接存储用户的凭据,从而提高了...
使用HttpOnly提升Cookie安全性
热门推荐
zzzmmmkkk的专栏
09-01 9万+
在介绍HttpOnly之前,我想跟大家聊聊Cookie及XSS。 随着B/S的普及,我们平时上网都是依赖于http协议完成,而Http是无状态的,即同一个会话的连续两个请求互相不了解,他们由最新实例化的环境进行解析,除了应用本身可能已经存储在全局对象的所有信息外,该环境不保存与会话有关的任何信息,http是不会为了下一次连接而维护这次连接所传输的信息的。所以为了在每次会话之间传递信息,
HttpOnly介绍以及防止XSS攻击时的作用(转)
如果你真的想做一件事,你一定会找到方法; 如果你不想做一件事,你一定会找到借口。
01-12 888
[url=http://www.owasp.org/index.php/HTTPOnly]介绍HttpOnly、讨论HttpOnly、以及HttpOnly与各语言的集成(Java,.Net,PHP)[/url] 转自:[url=http://netsecurity.51cto.com/art/200902/111143.htm]利用HTTP-only Cookie缓解XSS之痛[/url] ...
什么是HTTP-only Cookie,它有什么安全特性?
长风破浪会有时的博客
05-16 176
最主要的安全特性就是它能防止一些坏人(黑客)偷看你的小纸条(Cookie)上的信息。因为黑客通常会通过一些手段在你的浏览器里运行恶意程序(比如JavaScript),然后尝试读取或修改你的CookieCookie就像是小纸条,当你在浏览网站的时候,网站会把一些小纸条(Cookie)放在你的浏览器里。这样,当你下次再去这个网站的时候,网站就可以通过读取这些小纸条来认识你,并为你提供更好的服务。它的特殊之处在于,它只能被网站服务器读取和修改,而不能被浏览器里的其他程序(比如JavaScript)读取或修改。
HTTP cookies 详解
SalmonellaVaccine的专栏
02-05 649
http://bubkoo.com/2014/04/21/http-cookies-explained/ HTTP cookies,通常称之为“cookie”,已经存在很长时间了,但是仍然没有被充分理解。首要问题是存在许多误解,认为 cookie 是后门程序或病毒,却忽视了其工作原理。第二个问题是,对于 cookie 的操作缺少统一的接口。尽管存在这些问题,cookie 仍旧在 We
Http请求第三方的AccessToken
qq_43955390的博客
05-12 861
package com.qw.web_common.controller; import lombok.extern.slf4j.Slf4j; import org.springframework.stereotype.Component; import java.io.BufferedOutputStream; import java.io.BufferedReader; import java.io.IOException; import java.io.InputStreamReader; impo
AccessToken 刷新流程图和具体示例
最新发布
07-18
1. AccessToken 刷新流程图 2. 具体示例; 3.请求和保存说明; 4.何时更新; 5.队列请求类如何处理; 6.优先级如何处理; 7.异常如何处理;
微信获得accesstoken工具类
08-07
资源可以获得微信的AccessToken,不会每次都重新去服务器请求。使用时需要创建一个wxAccessToken.properties配置文件,在代码修改路径能够读到就好了。然后在调用String accessToken = AccessTokenUtil....
.net微信开发 如何获取AccessToken
10-20
主要为大家详细介绍了微信开发AccessToken的获取方法,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
微信公众号使用cookie存储access_token导致的一直重新获取超次数问题
whxyxj的博客
07-31 1556
微信公众号使用cookie存储access_token导致的一直重新获取超次数问题        最近做了一个项目,包含微信公众号的推送告警功能,在看着微信开发文档的基础上写完了,大概的就是获取access_token、并与openId、template_id和告警内容结合来实现对用户的推送提醒。但是access_token有2小时的过期时限,且有获取次数的限制。所以在获取完之后,我便将其放入到cookies之,并定义2小时的过期期限,
cookie,session,token深入解析,彻底弄明白
weixin_57806272的博客
07-21 831
cookie,session,token三者都是为了解决http协议无状态,无连接而产生的。用来记录用户状态的做鉴权用;token(大厂常用)
调用接口出现 accessToken报错
未青的博客
04-13 2659
出现的原因 当调用接口的时候,出现 Access to XMLHttpRequest at ‘http://127.0.0.1:8000/api/permissionlist/Menu/Query’ from origin ‘http://localhost’ has been blocked by CORS policy: Request header field accessToken is not allowed by Access-Control-Allow-Headers in prefl.
利用HTTP-only Cookie缓解XSS之痛
wlm的博客
01-06 610
<br />在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie。 <br />我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only cookie保护敏感数据,最后介绍了实现HTTP-only cookie时确定浏览器版本的具体问题。<br />一、XSS与HTTP-only Cookie简介<br />跨站点脚本攻击是困扰We
Sa-token 之 SaManager
KsamaLi的博客
03-01 2346
Sa-Token
HTTP Cookie 详解二
我的未来从这里开始
03-26 2万+
今天webryan给team做了一个关于HTTP cookie的分享,从各个方面给大家介绍一下大家耳熟能详的Cookie。主要是翻了维基百科的很多内容,因为维基百科的逻辑实在是很清晰:),ppt就不分享了,把原始的草稿贴出来给大家。欢迎批评指正。 HTTP Cookie: Cookie通常也叫做网站cookie,浏览器cookie或者http cookie,是保存在用户浏览器端的,并在发出
Cookie没有HTTP Only标志漏洞
Min_Monk的博客
11-06 3968
会话cookie缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
cookie原理入门概念介绍
shellching的专栏
12-15 2227
[好资料收个藏,转自 http://eyesmore.javaeye.com/blog/332817]cookie原理入门概念介绍 关键字: cookie 3. COOKIE FUNDAMENTALS3.1 Introduction Whether youre a programmer or ju
获取accessToken
06-13
获取accessToken通常是用于访问某些需要身份验证的Web API或者SDK开发。具体的获取方式与API或者SDK的类型和提供商相关。以下是一些常见的获取access token的方式: 1. OAuth授权:OAuth是一种常见的授权机制,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值