首页 > 其他分享 >深入探讨安全验证:OAuth2.0、Cookie与Session、JWT令牌、SSO与开放授权平台设计

深入探讨安全验证:OAuth2.0、Cookie与Session、JWT令牌、SSO与开放授权平台设计

时间:2023-08-22 10:22:47浏览次数:45  
标签:令牌 请求 JWT 用户 认证 SSO Session Cookie 授权

什么是认证和授权?如何设计一个权限认证框架?

认证和授权是安全验证中的两个重要概念。认证是确认身份的过程,用于建立双方之间的信任关系。只有在认证成功的情况下,双方才可以进行后续的授权操作。授权则是在认证的基础上,确定用户或系统对资源的访问权限。

在设计一个权限认证框架时,可以考虑以下原则:资源、角色和主体。

  • 资源:定义系统中的各种功能、数据或服务,例如页面、API接口等。
  • 角色:角色是对用户或系统进行逻辑分组的一种方式。一个主体(用户或系统)可以拥有一个或多个角色。每个角色可以被赋予不同的权限,即可以访问哪些资源。
  • 主体:主体是指进行认证和授权的实体,可以是用户、系统或第三方应用程序。

在开发中,可以采用前端页面按钮权限控制和后台统一权限控制的方式来确保安全访问。前端页面按钮权限控制可以根据用户角色或权限配置显示或隐藏页面上的按钮,以限制用户的操作。后台统一权限控制可以通过中间件或拦截器来验证用户的认证信息和权限,确保用户只能访问其被授权的资源。

Cookie和Session有什么区别?如果没有Cookie,Session还能进行身份验证吗?

Cookie和Session是用于进行身份验证和状态管理的两种机制,在实现上有一些区别。

Cookie是由服务器在响应中生成并存储在客户端的一种小型文本文件。它可以包含一些状态信息,例如用户身份标识、过期时间等。每次客户端发送请求时,会自动携带相应的Cookie数据,以便服务器进行身份验证和状态管理。

Session是在服务器端创建和管理的一种数据结构,用于存储每个用户的会话信息。服务器在接收到客户端请求后,为每个会话生成一个唯一的session id,并将其发送给客户端保存。客户端在后续的请求中会携带该session id,服务器根据id查找对应的会话信息,进行身份验证和状态管理。

由于Session的实现依赖于Cookie来传递session id,如果没有Cookie,无法将会话信息与请求进行关联,从而无法进行有效的身份验证。

在分布式部署的情况下,可以采取一些解决方案来处理Session的信息保存问题。常见的解决方案包括:

  • 调整负载均衡策略:通过配置负载均衡器,将特定的客户端请求固定发送到某个服务器上,以确保会话信息的一致性。但是当该服务器宕机或故障时,会话信息将丢失。
  • Session复制:在集群中的服务器之间复制会话信息,以保持一致性。但是在高并发环境下,如果复制过程未完成,就接收到了新的请求,会影响性能和一致性。
  • Session共享:使用第三方工具(如Redis)将会话信息存储在共享的缓存中,每个服务器都可以访问和更新该缓存,以实现会话信息在集群中的共享和同步。

什么是CSRF攻击?如何防止?

CSRF(Cross-Site Request Forgery)攻击是一种利用受害者在已经认证的状态下执行非意愿操作的攻击方式。攻击者通过诱使受害者访问恶意网站或点击恶意链接,来执行未经授权的操作,例如修改密码、进行转账等,简单来说就是,由于cookie是在浏览器共享的,所以一旦设置了cookie,那么当你打开另一个tab页的时候,也会携带过去,那么其他站点就可以使用cookie进行攻击,具体如下:

比如:当你在浏览器中打开银行A的网页并成功登录后,你想要进行转账操作。你使用GET请求访问了一个URL:https://www.banka.com/transfer?account=111&amount=1000。这个请求包含了转账所需的账户和金额信息。

然而,同时你在另一个浏览器标签中打开了一个恶意网页,这个网页中包含了一个类似的URL:https://www.banka.com/transfer?account=111&amount=10000。由于你在之前登录银行A的网页时,浏览器会自动发送之前的Cookie信息,恶意网页中的请求也会带有相同的Cookie。

当你点击恶意网页中的链接时,银行A的服务器会收到这个请求,并且由于存在有效的Cookie,会误认为这是一个合法的请求,从而执行了转账操作,将10000的金额从你的账户中转出。

为了防止CSRF攻击,可以采取以下措施:

  1. 验证请求来源:在服务器端对请求进行验证,确保请求来自合法的来源。可以通过检查请求头中的Referer字段或使用自定义的Token进行验证。
  2. 使用CSRF令牌(Token):在每个表单或敏感操作的请求中,包含一个随机生成的CSRF令牌。服务器在接收到请求时,验证令牌的有效性,确保请求是合法的。
  3. 限制敏感操作的权限:确保只有授权的用户才能进行敏感操作。这可以通过身份验证和授权机制来实现。
  4. 使用验证码:在某些敏感操作中,要求用户输入验证码,以提高安全性。验证码可以有效防止自动化攻击。
  5. 设置Cookie属性:将Cookie设置为httponly属性,防止JavaScript脚本获取和修改Cookie的值,减少攻击者的可能性。
  6. 定期更新令牌:为了增加攻击者破解令牌的难度,可以定期更新令牌,使其失效。

什么是OAuth2.0协议?有哪几种认证方式?什么是JWT令牌?和普通令牌有什么区别?

OAuth2.0是一种开放标准的授权协议,用于在第三方应用程序和服务之间进行安全的认证和授权。在OAuth2.0中,用户可以通过授权服务器将其身份验证信息与第三方应用程序共享。授权服务器会颁发一个访问令牌,该令牌将用于向资源服务器请求受保护资源。第三方应用程序使用访问令牌来获取用户授权的资源。

OAuth2.0的授权过程通常涉及以下几个角色:

  • 用户:资源的所有者,可以授权第三方应用程序访问其资源。
  • 第三方应用程序:需要访问用户资源的应用程序。
  • 授权服务器:负责验证用户身份并颁发访问令牌。
  • 资源服务器:存储和提供受保护资源的服务器。

OAuth2.0有以下几种认证方式:

授权码模式(Authorization Code Grant):在这种模式下,用户通过浏览器将自己的凭证(例如用户名和密码)提供给认证服务器,然后获取一个授权码。授权码随后被用于交换访问令牌和刷新令牌。

image

简化模式(Implicit Grant):这种模式下,用户在浏览器中直接发起认证请求,认证服务器将令牌直接返回给浏览器,然后浏览器将令牌传递给第三方应用程序。第三方应用可以直接在前端页面获取访问令牌,而无需通过后台进行回调。

image

密码模式(Resource Owner Password Credentials Grant):在这种模式下,用户将自己的凭证直接提供给第三方应用程序,然后第三方应用程序使用这些凭证直接向认证服务器请求令牌。

image

客户端模式(Client Credentials Grant):这种模式下,第三方应用程序直接使用自己的凭证向认证服务器请求令牌,而没有用户的参与。

image

JWT(JSON Web Token)令牌是一种轻量级的认证和授权机制,它是由一串经过Base64编码的JSON数据组成的令牌。JWT令牌包含了用户的身份信息和权限信息,并且被数字签名以确保其完整性和真实性。

在一般情况下,获取的令牌token并没有实际作用,它只是用来建立信任,使得第三方应用可以调用授权平台的接口。然而,获取用户信息接口通常成为一个瓶颈,因为第三方平台需要获取并保存授权平台的用户基本信息。与普通令牌不同,JWT令牌是通过加密生成的一系列信息,第三方应用可以直接通过JWT令牌获取用户相关信息,无需调用用户基本信息接口,从而减轻了用户信息接口的压力。

什么是SSO?与OAuth2.0有什么关系

SSO(Single Sign-On)是一种身份验证和授权机制,它允许用户在一次登录后访问多个相关应用系统而无需再次输入凭证。SSO的目标是提供便捷的用户体验,减少用户的登录负担。

OAuth2.0是一种授权框架,它允许用户授权第三方应用访问其受保护的资源,而无需将用户名和密码直接提供给第三方应用。OAuth2.0的主要目标是授权和保护用户的资源,并确保用户可以控制对其资源的访问权限。

虽然SSO和OAuth2.0有相似的目标,都是为了提供用户便利和安全的身份验证和授权机制,但它们的实现和应用场景有所不同。SSO通常用于组织内部的应用系统,而OAuth2.0更多地用于第三方应用和开放平台之间的授权。虽然OAuth2.0也可以用于实现SSO,但通常需要一个独立的认证授权服务器来处理认证和授权请求链路,以验证用户的登录信息。

简而言之,SSO强调的是一次登录,多个应用系统使用;而OAuth2.0强调的是一次注册,多个应用系统授权访问。尽管OAuth2.0也可以用于实现SSO,但在实际应用中更常见的是将其用于第三方授权的场景。

如何设计一个开放授权平台?

以下是设计一个开放授权平台的一些基本考虑点,具体的实现和架构会根据具体的需求和技术选型而有所不同。

  1. 用户注册和登录:提供用户注册和登录功能,确保用户可以访问他们的应用和授权信息。
  2. 应用注册和管理:允许开发者注册和管理他们的应用,包括应用名称、回调URL、应用图标等信息。
  3. 授权流程:定义授权流程,包括用户授权请求、用户登录确认、应用授权确认等步骤。确保所有授权请求都经过用户的明确同意。
  4. 安全性保障:采用合适的加密算法和安全策略,确保用户的敏感信息和授权令牌的安全性。
  5. 监控和日志:监控平台的运行状态和授权活动,记录日志,以便及时发现和处理异常情况。
  6. 开发者文档和支持:提供清晰的开发者文档和技术支持,帮助开发者正确使用授权平台和接入流程。

总结

总的来说,认证和授权是构建安全系统的重要组成部分。通过合理设计权限认证框架,我们可以确保只有合法用户能够访问和执行相应的操作。在处理用户身份认证时,Cookie和Session是常用的机制,但在分布式部署时需要注意Session的保存和共享问题。此外,为了防止CSRF攻击,我们可以采取一些措施,如使用CSRF令牌和验证请求来源。最后,设计开放授权平台时,需要考虑安全性、灵活性和易用性等因素。

最后,希望这篇安全验证的内容对你的面试和工作有所帮助!同时,也欢迎你浏览整个专栏的其他内容,以获取更多有用的信息。

标签:令牌,请求,JWT,用户,认证,SSO,Session,Cookie,授权
From: https://www.cnblogs.com/guoxiaoyu/p/17644635.html

相关文章

  • uniapp保存服务器端sessionID方案
    我们知道,uniapp,小程序都不支持cookie,那么每次调用服务端api接口时,服务端提供的Set-Cookie无法自动保存,导致每次都请求都是一个新sessionID,无法完成一些正常的校验,想要解决这个问题,可以让uniapp首次加载请求时保存服务器传过来的sessionID,在之后的请求中都在header中携带着这个coo......
  • R语言lasso惩罚稀疏加法(相加)模型SPAM拟合非线性数据和可视化
    全文链接:https://tecdat.cn/?p=33462原文出处:拓端数据部落公众号本文将关注R语言中的LASSO(LeastAbsoluteShrinkageandSelectionOperator)惩罚稀疏加法模型(SparseAdditiveModel,简称SPAM)。SPAM是一种用于拟合非线性数据的强大工具,它可以通过估计非线性函数的加法组件来捕捉......
  • R语言PCA主成分、lasso、岭回归降维分析全球气候变化对各国土地面积影响|附代码数据
    全文链接:http://tecdat.cn/?p=31445最近我们被客户要求撰写关于各国土地面积的研究报告,包括一些图形和统计输出。机器学习在环境监测领域的应用,着眼于探索全球范围内的环境演化规律,人类与自然生态之间的关系以及环境变化对人类生存的影响。课题着眼于环境科学中的近年来土地面......
  • SpringBoot复习(54)用于事务处理的InfrastructureAdvisorAutoProxyCreator BeanPostProc
    从类的继承关系看InfrastructureAdvisorAutoProxyCreator是一个BeanPostProcessor.@EnableTransactionManagement注解导入了TransactionManagementConfigurationSelector类,它的代码如下:这个ImportSelector的selectImports方法返回了一个AutoProxyRegistrar,AutoProxyRegistrar代码......
  • SSO-Cookie介绍
    1.cookie是一个存储在客户端的字符串属性,可以用它对当前网页的cookie进行读,写,增,删等操作;javascript能够用document对象的cookie属性对cookie进行操作; 2.cookie的四个可选属性:2.1cookie的生存期属性:expires;默认情况下,cookie只在浏览器会话期存在.退出浏览器就丢失;......
  • 什么是 SAP CDS view 中的 Exposed Association with filter 技术
    在SAPS/4HANA中,CDS(CoreDataServices)是一种强大的数据建模和查询语言,而“ExposedAssociationwithfilter”是其功能之一。下图是一个具体的例子。这里我们使用_bookings[class='C']的语法来给association指定一个过滤条件,然后暴露成_business_flights给外部消费者使......
  • flask_session的使用
    1安装flask_session模块pipinstallflask-session2导入一个类fromflask_sessionimportRedisSessionInterface3实例化得到对象#3把实例化得到的对象,赋值给app.session_interfaceapp.session_cookie_name='session'fromredisimportRedisconn=Redis(host=......
  • iwebsec-文件包含 03 session本地文件包含
    01、题目分析程序开发人员通常会把可重复使用的函数写到单个文件中,在使用某些函数时,直接调用此文件,而无须再次编写,这种调用文件的过程一般被称为文件包含。在包含文件的过程中,如果文件能进行控制,则存储文件包含漏洞02、文件包含在这一题中,采用了session验证,根据提示,我们就可......
  • JSON Web Tokens(JWT)
    JSONWebTokens(JWT)是一种用于身份验证和授权的开放标准。它可以在客户端和服务器之间安全地传输信息,并且非常适合以下场景:身份验证:JWT可以用于验证用户的身份。当用户登录后,服务器可以生成一个JWT并将其返回给客户端。客户端可以在后续的请求中将JWT作为身份验证凭证发送给服务器......
  • token和jwt
    1. 简介  105使用Token存储用户信息,认证用户。 Token是一个访问系统的令牌(字符串)。Token 是在服务端产生的。前端可以使用用户名/密码向服务端请求认证(登录),服务端认证成功,服务端会返回 Token 给前端。前端可以在每次请求的时候带上 Token 证明自己的身份。服务器端在处理......