摘要:最近在用寫自己的博客��,發(fā)現(xiàn)總是掉到的坑����,于是就好好八一八這個小甜餅,沒想到居然還說很有意思的����,每一個知識點都能拉出一條大魚,想想自己之前對���,簡直就是它認(rèn)識我���,我只能叫出他的名字。
最近在用thinkjs寫自己的博客���,發(fā)現(xiàn)總是掉到cookie的坑�����,于是就好好八一八這個小甜餅���,沒想到居然還說很有意思的�,每一個知識點都能拉出一條大魚�����,想想自己之前對cookie�����,簡直就是它認(rèn)識我�����,我只能叫出他的名字�。
我將基于我自己的理解�����,使用原生koa2 + mysql來簡單演示一下一些cookie的處理方案,有什么出岔子的地方�����,希望大家友好指正
1��、cookie介紹
1.1 項目中cookie的使用場景
在實際的應(yīng)用場景中��,Cookie被用來做得最多的一件事是保持身份認(rèn)證的服務(wù)端狀態(tài)��。比如登錄狀態(tài)的判斷
1.2 為什么需要cookie呢�����?
敲黑板��,HTTP是無狀態(tài)協(xié)議�,他不對之前發(fā)生過的請求和響應(yīng)的狀態(tài)進行管理。也就是每次服務(wù)器接收到請求后���,并不知道請求到底用戶是誰�,
是否是登錄態(tài)�����,這樣服務(wù)端就懵逼了。cookie可以解決這個問題����。如圖,cookie的實現(xiàn)過程如下(盜了個圖):
客戶端向服務(wù)器發(fā)送HTTP Resuest
服務(wù)器接收到請求�����,在返回的HTTP Response響應(yīng)頭中加入set-cookie字段以及對應(yīng)的cookie值
客戶端接收到服務(wù)器的響應(yīng)���,解析出頭部的set-cookie字段并將其中的cookie保存到本地
下次向服務(wù)器發(fā)送請求時�, 會將cookie附加在HTTP請求的頭字段Cookie中
服務(wù)器收到請求��,判斷cookie�,便知道了發(fā)送請求的是客戶端是誰了
我是一個jser,通過原生nodejs和瀏覽器調(diào)試工具看到每一個服務(wù)器和瀏覽器交互的細(xì)節(jié)��。代碼如下��,歡迎交流并star:
https://github.com/LaputaGit/...
有興趣的可以了解一下�����,運行一下代碼���,代碼里面有詳細(xì)的注釋�����。
2�����、那么問題來了��,你的cookie安全嗎
首先�,檢測你的項目使用cookie有沒有以下情況
能不能用js操作客戶端cookie����?
對于Cookie的域(Domain)和路徑(Path)設(shè)置是如何制定策略的?為何這樣劃分�?
在有SSL的應(yīng)用中,你的Cookie是否可以在HTTP請求和HTTPS請求中通用����?這一條暫時放放不介紹
我個人對于cookie的安全是這么理解的,我覺得cookie不是為安全而生的�,所以沒必要承擔(dān)安全的責(zé)任,很多人拿cookie來做登錄驗證�����,包括我自己以前也這么搞過,而且搞得很簡單�。。�����。囧
來說一下cookie的安全性話題吧���,談到"為了cookie更安全"�����,大概會做以下工作
設(shè)置httpOnly為true�,來保證客戶端無法操作cookie
設(shè)置secure為true
cookie在服務(wù)器以各種方式加密后�����,生成token
比如���,用戶發(fā)起登錄 -> 服務(wù)器根據(jù)客戶端的username, ip, expiration, useragent等組合信息��,用可加密函數(shù)加密生成token�����,將此token保存到數(shù)據(jù)庫���,并將token寫入cookie。
服務(wù)端驗證流程: 客戶端發(fā)來請求 -> 服務(wù)器解析出cookie中的token信息 -> 將token解密����,驗證客戶端的username是否存在,如果存在 -> 驗證token是否和數(shù)據(jù)庫中的token相同�,如果相同 -> 驗證token的有效期expiration,如果有效 -> 驗證ip是否變化��,如果有效 -> 驗證user agent等 …我們可以把很多的選項加入到cookie的加密中�。
或者,有一些方案是把敏感信息交有后端session來保存�����,但是數(shù)據(jù)仍然放在cookie中���,通過http傳輸
問題來了���,不管你是通過cookie加密��,或者是通過session包裝敏感信息�����,這解決的是Cookie是可以被篡改的問題�����!這是個內(nèi)部問題���,可以發(fā)送HTTP請求的不只是瀏覽器,很多HTTP客戶端軟件�����,比如postman, paw等等�����,都可以發(fā)送任意的HTTP請求����,可以設(shè)置任何頭字段。 假如我們直接設(shè)置Cookie字段為authed=true并發(fā)送該HTTP請求, 服務(wù)器豈不是被欺騙了��?這種攻擊非常容易����,Cookie是可以被篡改的����!
但是,這樣是不能保證數(shù)據(jù)的安全性的��,基于HTTP的cookie的傳輸是明文的��,可以通過抓包獲取數(shù)據(jù)�����,這個是傳輸層所決定的���。這個才是cookie不安全的決定因素�,不管你cookie如何加密��,一旦我劫持到你的cookie���,再把這個cookie原封不動地發(fā)送到服務(wù)器��,退一步來說�,即使加密,有時也可以通過一些手段破解�����,只要符合服務(wù)器cookie驗證的規(guī)則�,那么這個cookie是"合法的",自然就不安全了�。
未完待續(xù)。�����。����。后續(xù)會補上相關(guān)代碼示例
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為���,您可以聯(lián)系管理員刪除�。
轉(zhuǎn)載請注明本文地址:http://m.hztianpu.com/yun/11316.html
