单页应用请求服务器,reactjs – 使用基于HttpOnly cookie的单页应用程序进行身份验证和会话管理...

最新推荐文章于 2022-04-15 15:35:01 发布
最新推荐文章于 2022-04-15 15:35:01 发布
阅读量224 收藏
点赞数
文章标签: 单页应用请求服务器

几天来,我一直在为单页面应用程序寻找安全的身份验证和会话管理机制。从有关SPA和身份验证的众多教程和博客文章来看,将JWT存储在localStorage或常规cookie中似乎是最常用的方法,但

it’s simply not a good idea to use JWTs for sessions因此它不适用于此应用程序。

要求

>登录应该是可以撤销的。例如,如果在用户的帐户上检测到可疑活动,则应该可以立即撤消该用户的访问权限并需要新登录。同样,密码重置等操作应撤消所有现有登录。

>身份验证应该通过Ajax进行。之后不应该进行浏览器重定向(“硬”重定向)。所有导航都应在SPA内部进行。

>一切都应该跨域工作。 SPA将在www.domain1.com上,服务器将在www.domain2.com上。

> JavaScript应该无法访问服务器发送的敏感数据,例如会话ID。这是为了防止XSS攻击,其中恶意脚本可以从常规cookie,localStorage或sessionStorage中窃取令牌或会话ID。

理想的机制似乎是使用包含会话ID的HttpOnly cookie进行基于cookie的身份验证。流程将如下工作:

>用户到达登录页面并提交其用户名和密码。

>服务器对用户进行身份验证,并将会话ID作为HttpOnly响应cookie发送。

>然后,SPA在随后向服务器发出的XHR请求中包含此cookie。这似乎可以使用withCredentials选项。

>当向受保护的端点发出请求时,服务器会查找cookie。如果找到,它会将该会话ID与数据库表进行交叉检查,以确保会话仍然有效。

>当用户注销时,会话将从数据库中删除。下次用户到达站点时,SPA会收到401/403响应(自会话过期),然后将用户带到登录屏幕。

由于cookie具有HttpOnly标志,因此JavaScript无法读取其内容,因此只要通过HTTPS传输,它就不会受到攻击。

挑战

这是我遇到的具体问题。我的服务器配置为处理CORS请求。在对用户进行身份验证后,它会在响应中正确发送cookie:

HTTP/1.1 200 OK

server: Cowboy

date: Wed,15 Mar 2017 22:35:46 GMT

content-length: 59

set-cookie: _myapp_key=SFMyNTYBbQAAABBn; path=/; HttpOnly

content-type: application/json; charset=utf-8

cache-control: max-age=0,private,must-revalidate

x-request-id: qi2q2rtt7mpi9u9c703tp7idmfg4qs6o

access-control-allow-origin: http://localhost:8080

access-control-expose-headers:

access-control-allow-credentials: true

vary: Origin

但是,浏览器不保存cookie(当我检查Chrome的本地cookie时,它不存在)。因此,当以下代码运行时:

context.axios.post(LOGIN_URL,creds).then(response => {

context.$router.push("/api/account")

}

并创建帐户页面:

created() {

this.axios.get(SERVER_URL + "/api/account/",{withCredentials: true}).then(response => {

//do stuff

}

}

此调用在标头中没有cookie。因此服务器拒绝它。

GET /api/account/ HTTP/1.1

Host: localhost:4000

Connection: keep-alive

Accept: application/json

Origin: http://localhost:8080

User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML,like Gecko) Chrome/56.0.2924.87 Safari/537.36

Referer: http://localhost:8080/

Accept-Encoding: gzip,deflate,sdch,br

Accept-Language: en-US,en;q=0.8,tr;q=0.6

我是否需要做一些特别的事情以确保浏览器在登录响应中收到cookie后保存cookie?我读过的各种来源都说浏览器只在用户被重定向时保存响应cookie,但我不想要任何“硬”重定向,因为这是一个SPA。

有问题的SPA是用Vue.js编写的,但我想它适用于所有SPA。我想知道人们如何处理这种情况。

我在这个主题上读过的其他内容:

weixin_39626369
关注
api存在csrf攻击吗_使用rest api防止单页应用上的csrf攻击
weixin_26741563的博客
09-30 1307
api存在csrf攻击吗tl;dr — If your SPA uses a private REST API, use CORS and a CSRF Token header. If your SPA uses a public REST API, use a SameSite Strict cookie for mutating operations (if you only support...
IdentityServer4.Samples
02-19
IdentityServer4是基于.NET Core构建的身份验证服务器,遵循OpenID Connect和OAuth2标准,为API、Web应用和原生应用提供安全的访问控制。它支持多种认证机制,如用户名/密码、外部身份提供商(如Google、Facebook)...
为什么cookie会有httponly属性?真实案例解释XSS的三种攻击
我本可以容忍阳光,如果我不曾见过太阳,然而阳光已使我荒凉,成为更新的荒凉。
08-12 723
来源:宫本https://juejin.im/post/6857698580817182728什么是XSS?xss全称Cross Site Scripting(跨站脚本),为了与“CSS...
vue.js php登录验证,reactjs 使用基于HttpOnly cookie单页应用程序进行身份验证会话管理...
weixin_35482237的博客
03-12 357
几天来,我一直在为单页应用程序寻找安全的身份验证会话管理机制。从有关SPA和身份验证的众多教程和博客文章来看,将JWT存储在localStorage或常规cookie中似乎是最常用的方法,但it’s simply not a good idea to use JWTs for sessions因此它不适用于此应用程序。要求>登录应该是可以撤销的。例如,如果在用户的帐户上检测到可疑活动,则...
cookie httponly ajax,HostOnly CookieHttpOnly Cookie
weixin_39964660的博客
08-05 448
怎么使用Cookie?通常我们有两种方式给浏览器设置或获取Cookie,分别是HTTP Response Headers中的Set-Cookie Header和HTTP Request Headers中的Cookie Header,以及通过JavaScript对document.cookie进行赋值或取值。rfc6265第5.2节定义的Set-Cookie Header,除了必须包含Cookie正...
Cookie 中 相关HttpOnly属性的重要性
zy103118的博客
04-26 3915
一、属性说明: 1 secure属性 当设置为true时,表示创建的 Cookie 会被以安全的形式向服务器传输,也就是只能在 HTTPS 连接中被浏览器传递到服务器进行会话验证,如果是 HTTP 连接则不会传递该信息,所以不会被窃取到Cookie 的具体内容。2 HttpOnly属性 如果在Cookie中设置了"HttpOnly"属性,那么通过程序(JS脚本、Applet等)将无法读取到Cookie信息,这样能有效的防止XSS攻击。 对于以上两个属性, 首先,secure属性是防止信息在传递的过程中被
Cookie没有HTTP Only标志漏洞
Min_Monk的博客
11-06 4087
会话cookie中缺少HttpOnly属性会导致攻击者可以通过程序(JS脚本、Applet等)获取到用户的cookie信息,造成用户cookie信息泄露,增加攻击者的跨站脚本攻击威胁。 HttpOnly是微软对cookie做的扩展,该值指定cookie是否可通过客户端脚本访问。Microsoft Internet Explorer 版本 6 Service Pack 1 和更高版本支持co...
JWT在单页应用中的实际应用
JSON Web Token(JWT)是一种用于跨网络进行身份验证和授权的开放标准(RFC 7519)。它由三部分组成:头部(Header)、载荷(Payload)和签名(Signature)。JWT以JSON格式编码,可以在各种Web应用程序和API之间传递...
Next.js中的身份认证和权限控制实践
它允许开发人员轻松创建具有服务器渲染和静态导出功能的 React 应用程序。 #### 1.2 为什么需要身份认证和权限控制? 身份认证和权限控制是现代Web应用不可或缺的组成部分。身份认证用于确认用户的身份,而权限控制...
单页应用(SPA)中的CSRF保护
单页应用(Single Page Application,SPA)是一种Web应用程序,它在加载任何页面时都会将所有相关的代码、样式表和脚本一次性加载到浏览器上。在用户与应用程序交互时,页面不会重新加载,而是通过JavaScript动态...
cookie设置HttpOnly
热门推荐
零度的博客专栏
05-20 2万+
1.什么是HttpOnly?         如果cookie中设置了HttpOnly属性,那么通过js脚本将无法读取到cookie信息,这样能有效的防止XSS攻击,窃取cookie内容,这样就增加了cookie的安全性,即便是这样,也不要将重要信息存入cookie。XSS全称Cross SiteScript,跨站脚本攻击,是Web程序中常见的漏洞,XSS属于被动式且用于客户端的攻击方式,所
react操作cookie
a44185的博客
03-29 970
yarn add react-cookies -D import cookie from ‘react-cookies’ 存 cookie.save(‘userId’, “123”{ path: ‘/’, expires, maxAge: 1000, // maxAge 单位秒 domain: ‘https://play.bukinoshita.io’, secure: true httpOnly: true }) 取 cookie.load(‘userId’) 删 cookie.remove(‘userI
React学习笔记_基于Cookie的登录认证
架构师的成长之路的博客
12-11 2万+
基于Cookie的登录认证 更多干货 分布式实战(干货) spring cloud 实战(干货) mybatis 实战(干货) spring boot 实战(干货) React 入门实战(干货) 构建中小型互联网企业架构(干货) python 学习持续更新 ElasticSearch 笔记 kafka stor...
CookieHttpOnly使用方式以及用途
drawlessonsfrom的博客
12-22 2万+
一、HttpOnly的简介 HttpOnlyCookie中一个属性,用于防止客户端脚本通过document.cookie属性访问Cookie,有助于保护Cookie不被跨站脚本攻击窃取或篡改。但是,HttpOnly应用仍存在局限性,一些浏览器可以阻止客户端脚本对Cookie的读操作,但允许写操作;此外大多数浏览器仍允许通过XMLHTTP对象读取HTTP响应中的Set-Cookie头。 二、使用方式 语法 Set-Cookie: <cookie-name>=<cookie-value
没有设置 HttpOnly 标志的 Cookie
m0_47005349的博客
05-31 1283
PHP中的设置 PHP5.2以上版本已支持HttpOnly参数的设置,同样也支持全局的HttpOnly的设置,在php.ini中 session.cookie_httponly = 设置其值为1或者TRUE,来开启全局的CookieHttpOnly属性,当然也支持在代码中来开启: <?php ini_set("session.cookie_httponly", 1); // or session_set_cookie_params(0, NULL, NULL, NULL, TRUE
单页应用中刷新时保持登录
Sukla的博客
12-15 1713
1,登录之后将用户信息存到 cookies 中 在页面每次加载时候 向后端校验 cookies 中的用户信息是否有效 如果失效 就将登录状态变为登出
express中设置cookiehttpOnly属性防御xss攻击
shidaping的博客
05-16 6040
大部分是xss攻击(跨站脚本攻攻击),都是尝试在客户的浏览器中注入脚本,然后获取cookie发送到黑客指定的地址。因为服务端的session都是通过一个记录seesionId的cookie来识别的。黑客拿到了cookie, 自然就能够伪造身份,进而获取到权限。cookiehttpOnly属性意味着,浏览器中不能通过document.cookie访问到这个cookie,从而达到防御xss攻击的目的
react如何在项目中使用cookie
m0_59296903的博客
04-15 3879
一、下载 npm install react-cookies 二、导入 import cookie from 'react-cookies' 三、存值 1、登录成功,将信息保存在cookie中( 存值 ) 存值的语法:cookie.save(key, value, { path: '/' }) if (retJsonInfo.code == 200) { message.success("登录成功"); // 将用户信息保存在cookie中, th
单点登录技术:基于Cookie身份验证与安全
"基于Cookie的单点登录技术是解决企业Web应用系统中用户频繁登录问题的有效方案。它利用HTTP重定向和票据,基于Cookie的跨域共享,实现用户只需一次登录即可访问所有授权系统,提高了办公效率,简化了系统管理,并...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值