如何安全地使用token

最新推荐文章于 2024-04-26 20:05:58 发布
最新推荐文章于 2024-04-26 20:05:58 发布
阅读量1.7k 收藏 2
点赞数 1
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zou8944/article/details/126264125
版权

通常在带有登录功能的业务中,我们会向用户(客户端)发放访问凭证,往后一段时间,用户持该凭证即可在应用内畅行。不同应用可能有不同的名字:access_token、token、xxxid,也可能有不同的形式:不透明字符串、JWT等。本文讨论访问凭证的安全性。

考虑到一般发放JWT的系统都将其当做无状态token使用,不适用本文讨论范文,故忽略。

原则

总的说来,应该在如下两方面做好

  • 用户体验:登录操作成本很高,不能经常让用户重新登录,会劝退。最离线的情况是:正常用户永远能够正常使用
  • 安全性:token不能丢,即使丢失,风险也应当可空

分别讨论

用户体验

两种方式可使得用户免于重新登录

  • 发放一个永不过期的token
  • 发放一个短期的token,到期后主动刷新token,效果和永久token一致

Token安全性

风控系统将防御分为事前、事中、事后。类似地,我们可以套用

  • 事前:如何防御token不丢失
  • 事后:token丢失后如何使得损失最小

不丢Token

  • 防中间人:HTTPS协议、客户端屏蔽代理、客户端预埋证书
  • 防XSS:web将token放在Cookie并添加httpOnly和Secure属性,防XSS导致的token泄露
  • 防CSRF:csrf token

Token丢失后止损

如果token丢失,短时间内造成的损失不可挽回,只能考虑如何止损

  • 尽快让token失效,有几种方式,可以叠加使用
    • token过期机制:token限制有效期,过期自动失效
    • token失活机制:超过n天未使用的token主动失效
    • token滚动机制:如果用户通过登录或刷新触发了新token的生成,则之前的token设为无效。
    • token驱逐机制:提供交互让用户选择主动驱逐token
  • 限制token的使用环境
    • 将token和用户使用环境绑定起来,验证token时同步验证环境。稳定可用可获取的环境包括
      • 设备型号:永远不会变
      • 操作系统版本:只会升级,不会降级
      • app版本:只会升级,不会降级
      • 设备ID:至少单次会话期间是稳定的
  • token使用行为监测,分析出敏感操作

讨论

为什么大公司可以发长期token?

我们常用的Google、Bilibili、微博等网站和应用,似乎登录一次就再也不需要登录,通过抓包的方式去查看它们的访问凭证,会怀疑它们很可能发放了一个长期有效的凭证,按上面的分析,长期的token一旦丢失将造成无可挽回的损失,这样岂不是很不安全?原因主要还是他们有自己的风控系统,能够根据用户使用环境、行为习惯识别风险,采取主动失效、通知用户等操作及时止损。

一篇文章自觉不错:这里

refresh_token如何?

大公司有风控系统,有足够的底气发长时token,小公司没有风控系统,发长时token无异于作死,看起来token刷新是一个不错的办法。

access_token + refres_token的组合很多人都熟悉,知道它大多源自OAuth2协议,前者用于访问,后者用于刷新得到新的token。Auth0在refresh_token上又增加了令牌轮换和重用检测机制保障刷新操作的安全

  • 令牌轮换:执行token刷新后,原refresh_token会失效,换发新的refresh_token,减轻了refresh_token泄露的风险
  • 重用检测:当检测到已经被用过的refresh_token刷新操作时,说明refresh_token已经泄露,此时服务将所有access_token和refresh_token都失效,强制用户重新登录,进一步保证了refresh_token的安全性

参考文档

没有令牌轮换和重用检测的refresh_token机制是不安全的。一种说法是refresh_token传输频率较低,所以安全,但在当前HTTPS标配的情况下,中间人攻击已不容易,诚然降低的传输频率会增加一点安全性,但没有本质的变化,相对鸡肋。

方案

提一个适用于仅在用户系统中保障token安全性的方案,主要包含如下几个部分

  • 简单的风控:token验证时同时验证设备型号、操作系统(可从UA获取)、设备ID,如不一致说明token可能丢失
  • 短期的token:token有效期两个小时(根据需求自定义)
  • token刷新
    • access_token和refresh_token都是一个token,不引入refresh_token:token有过期时间,也有刷新的过期时间
    • 令牌轮换:token刷新后,将换发新的token,且原token不能再用于刷新
    • 重用检测:当检测到已经被用于刷新的token再次执行刷新操作,将所有token都失效,强制用户重新登录
  • token活动检测机制:记录token访问时间,如果token超过x天未访问,将自动过期,强制用户重新登录
zou8944
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
WebApi安全使用TOKEN+签名验证.zip
07-19
WebApi token+签名认证的主要原理是:1.做一个认证服务,提供一个认证的webapi,用户先访问它获取对应的token 2.用户拿着相应的token以及请求的参数和服务器端提供的签名算法计算出签名后再去访问指定的api  3....
SuperMap iclient for javascript使用token安全认证
12-14
本范例展示了如何在SuperMap iClient for javascript中使用服务token安全认证以及如何使用SuperMap iServer rest API申请token
如果一个用户的 token 被其他用户劫持了,怎样解决这个安全问题
热门推荐
Askrc
02-23 2万+
a、在存储的时候把 token 进行对称加密存储,用时解开。 b、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。c.HTTPS 对 URL 进行
JWT token安全问题之窃取被泄露
weixin_43249535的博客
07-05 2122
Token 窃取被泄露:攻击者可能会通过窃取 JWT token 来冒充用户身份,从而进行恶意操作。
token认证机制,基于JWT的Token认证机制实现,安全性的问题
weixin_44797327的博客
11-29 990
今天来和大家聊聊token的认证机制,从安全方面来考虑的话,一个系统的安全性是非常重要的,哪怕付出金钱的代价也要保证系统的安全
java 框架 接口安全性_谈谈API接口安全性设计思路
weixin_36047554的博客
02-17 368
接口的安全性主要围绕Token、Timestamp和Sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看:Token授权机制用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。时间戳...
如何防止token伪造、篡改、窃取
m0_69057918的博客
07-05 4878
防止token伪造、篡改、窃取的解决方案
如何防止token泄露?
a873051927的博客
04-21 1万+
1、在存储的时候把 token 进行对称加密存储,用时解开。 如果支持仅仅对token进行对称加密得到一个加密的token,这个加密的token泄露以后,我的理解是其他人还是可以使用这个加密的token进行非法请求; 2、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。 所以最好结合1,2两种方式一起使用,将请求 URL、时间戳、token、 三者进行合并加盐签名,因为盐值是保密的,所以其他人只是得到token的话,无法进行正确的签名,后端验证请求的签名值来判断请求是否有效。
永久token
我是一只程序⚪的技术交流平台
07-23 3961
在HTTP检查的时候,出现如下错误: 401的意思代表访问由于凭据无效被拒绝,总结一下就是我们设置的token过期了,那如何设置一个永久有效的token呢? 我们的token认证是通过JWT实现的,JSON Web Token(JWT)是目前最流行的跨域身份验证解决方案。 JWT TOKEN组成 一个JWT TOKEN为三个部分组成: JWT头 JWT头部分是一个描述JWT元数据的JSON对...
如何保证token安全性?
这天有点热的博客
07-12 6197
引入如何保证token安全性?原文在连接中,这里只是防止丢失做的备份。 接口的安全性主要围绕token、timestamp和sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制: 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。 时间戳超时机制: 用户每次请求都带上
Cookie、Session、Token、JWT
kagurawill的博客
12-30 1318
什么是认证(Authentication) 通俗地讲就是验证当前用户的身份,证明“你是你自己”(比如:你每天上下班打卡,都需要通过指纹打卡,当你的指纹和系统里录入的指纹相匹配时,就打卡成功) 互联网中的认证: 用户名密码登录 邮箱发送登录链接 手机号接收验证码 只要你能收到邮箱/验证码,就默认你是账号的主人 什么是授权(Authorization) 用户授予第三方应用访问该用户某些资源...
access_token VS refresh_token
RayPick的博客
11-29 5942
众所周知, 在 OAuth 2.0 授权协议中, 有两个令牌 token , 分别是 access_token 和 refresh_token, 为什么已经有了 access_token, 还需要 refresh_token 呢? 我们先看下面两者的介绍 access_token 访问令牌, 它是一个用来访问受保护资源的凭证 refresh_token 刷新令牌, 它是一个用来获取access token的凭证 下面是 OAuth 2.0 中的 token 工作流程图 回归主题, 这两个令牌的主要区别如下
JWT 网关TOKEN 加密
05-15
JWT 网关TOKEN 加解密方案,对系统无侵入
WebApi.Token安全机制
11-06
通过ajax分配相应的clientID和Secret及用户名和...测试页面click_me_please_iframe.html包含相应的刷新和认证,同时refresh_token以文件的形式进行存储,方便下次程序直接使用,不必要在产生新的token;开发工具是vs2015
mgc token钱包安全性说明
04-11
安全性的角度阐述mgc token的价值,让用户更加放心使用
全视通智慧手术室对讲方案,让手术更安全更高效
2301_78035670的博客
04-24 452
全视通智慧手术室对讲方案通过整合等候区公告屏、医护主机、手术间门口机、复苏室主机等多个模块和设备,专用于手术室、护士站、谈话间、复苏室、器械室和其他协同部门,实现了对手术流程的全面管理和监控。
安装SSL证书之后还会有不安全提示怎么办?
JoySSL230907的博客
04-20 825
在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。在这里,你可以申请到免费单域名证书、免费多域名证书以及免费通配符证书。- 证书链完整性:确保您不仅安装了主证书,还包含了所有必要的中间证书。缺少中间证书可能导致浏览器认为证书不可信。- 清除浏览器缓存:浏览器可能缓存了旧的或错误的证书信息,清除缓存有助于加载新安装的证书。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。永久免费SSL证书_永久免费https证书_永久免费ssl证书申请-JoySSL。
跨境电商测评攻略:如何安全有效地提升业绩?
zcwz888的博客
04-23 344
但自养号需要解决技术层面的问题,如果是买设备或者软件这种,可能上一秒还能用,下一秒就因为平台风控的原因批量封号,因为平台会通过ip 获取到设备的型号,地区码,监管码,主板码,WIFI地址,甚至是颜色,指纹码,IP地址等等大概几十个参数,参数关联后,触发平台机审,导致的砍单,封号。这时候要好好规划一下测评的事情,做美客多到最后你会发现,测评是最有效果的,因为测评的本质就是玩弄流量,模仿用户的真实行为让流量变得更多,从而得到跨境电商平台规则的加成,竞争激烈的产品不测评和别人竞争。
网络安全实训Day16
最新发布
Yisitelz的博客
04-26 325
网络空间安全第16天学习笔记。漏洞扫描;内网渗透
git使用token
09-01
- *3* [github的token使用方法](https://blog.csdn.net/chengwenyang/article/details/120060010)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值