链资讯 链资讯
Ctrl+D收藏链资讯

停止使用JSON Web代币进行身份验证?

作者:

时间:

“由于可扩展性,JWTokens是被推荐的认证方法。”

“JWTokens更易于使用。”

“JWToken是无状态的,所以我们不需要使用服务器上的内存。”

我确信他们的意图是好的,但是他们共享了一种不安全的用户身份认证和授权用户的方式,至少对于web应用程序是这样的。

我们当然可以安全地使用JWT代币,但是,我们可能不应该从头实现它们,因为广泛地保护它们会变得很复杂。

让我们看一下使用JWT对用户进行身份验证的流程。

用户输入他们的用户名和密码——当用户单击登录按钮时,将向服务器发送一个请求,用数据库验证用户的凭据。

服务器成功地验证了用户的身份——服务器现在使用一个密码创建并签署一个JWT,并在响应中返回它。

教程通常将到期时间设置为一周到30天。

客户端在响应中接收JWT——开发人员(在像chrome这样的客户端中)接收它,应用一些逻辑,然后存储它,通常是在本地存储。

客户端使用存储在代币中的信息来有条件地渲染——通常,教程使用像用户的电子邮件、用户名和布尔字段,如isAdmin。

客户端将代币添加为每个请求的标头——如果代币存在于本地存储中,则用户的会话是活动的。

服务器现在可以通过解密每个请求的签名代币来检查用户的身份。

代币将一直有效到到期。

以这种方式使用JWT的所有问题。

响应包含JWT。

我们遇到的第一个危险信号是在响应中返回代币。因此,前端代码可以自由地读取和存储代币。

访问代币会使跨站点脚本攻击能够窃取用户的身份并代表他们发送请求。因为我们没有关于用户的会话信息,所以可能没有办法知道。

JWT在到期之前一直有效。

由于JWT认证是无状态的,一旦服务器签署了有效的代币,就没有办法撤销用户的会话。

因此,使用长到期窗口+不安全存储是黑客对我们的用户造成严重损害的完美组合。

撤销它们的唯一方法是更改签名密钥,这实际上将注销我们的整个用户群,因为所有代币都将呈现为无效。

从长远来看,本地存储不安全。

在本地存储中长时间存储内容是不安全的,因为任何人都可以在浏览器中访问它。

DOGE突破0.35美元关口:欧易OKEx数据显示,DOGE短线上涨,突破0.35美元关口,现报0.350024美元,日内涨幅达到20.6%,行情波动较大,请做好风险控制。[2021/4/19 20:34:07]

跨站点脚本可以从本地存储中检索代币,因为它没有加密或保护。

信息可能不同步。

这个问题不像其他问题那么严重。

存储像isAdmin、用户地址等字段可能本身并不安全,但这里有一个问题。

由于代币是无状态的,因此当信息发生变化时无法更新它们。因此,用户的用户名、电子邮件或权限可能与数据库中的实际值不同步。

允许跨域请求。

使用JWT,任何拥有代币的人都可以发送有效的请求。

恶意网站可以从虚假域名向我们的网站发送请求,浏览器将允许它。

我们可以通过使用CORS来降低这种风险。

这些代币对于验证web应用程序来说并不安全,但这并不意味着它们是无用的。相反,有几个用例可以很好地处理这些代币。

使用JWT时:

到期窗口很小。(2小时)

请求不涉及将代币存储在浏览器中。

请求不需要加密。

一个真实的例子用例

最好的例子是控制对资源(如文件下载)的访问。

假设我们的用户一个月前购买了一款虚拟产品,想再次下载它。

我们会有一个开放的链接,使任何人都可以用来下载我们的虚拟产品吗?

JWT代币非常有用,因为我们可以创建短期访问代币来验证用户的身份,并临时授予对购买内容的访问权。

代币不会存储在任何地方,而且它会很快过期。因此,它允许我们轻松地处理可验证的交易。

如果我们曾经将第三方登录与谷歌或其他提供商集成过,那么这就是使用JWT的一个很好的例子。

有状态会话意味着服务器将用户的会话存储在内存或数据库中。

尽管这需要进行一些权衡,但在实现时,它消除了前一种方法的大部分问题和安全问题。

然而,它确实带来了一些其他的挑战。这取决于我们的项目需求。

我们可以跟踪用户的会话活动(更容易)

使用有状态会话,我们可以存储有用的信息,如用户的IP地址、会话持续时间、上次请求的时间戳,并查看每个用户有多少活动会话。

稳定币总市值已超200亿美元 投资者在加密市场对冲风险的需求不断增长:Coin Metrics数据显示,稳定币的总市值现已超过200亿美元,反映出在新冠疫情背景下,投资者寻求在加密和传统市场对冲风险的需求不断增长。加密货币分析公司TradeBlock机构研究主管John Todaro表示,比特币等非稳定币加密资产最近的价格下跌趋势是近期稳定币资产价值上涨的主要推动因素。越来越多的交易员和个人投资者把稳定币视为将资金投入风险更高的加密货币之前的一个中间步骤。用美元或其他法定货币购买稳定币后,他们可以将稳定币转移到交易所进行比特币、以太坊等加密交易。稳定币需求的激增也可能是由于对DeFi的兴趣增加。DeFi用户使用稳定币从各种DeFi平台(例如Uniswap,Curve和Aave)获得高收益。(Coindesk)[2020/9/25]

服务器可以根据需要撤销会话。

在触发警告时(假设用户有三个来自不同国家的活动会话),会话可以按需撤销,以防止被盗代币被使用——无需每30分钟等待一次到期。

HTTP-Only cookie更安全

没有方法可以100%安全抵御所有攻击。

我们必须将有状态会话代币(如UUID字符串)存储在HTTP-Only cookie中。

一个HTTP-Only cookie意味着cookie被自动附加到每个客户端请求,没有人可以访问浏览器中的代币,甚至我们自己也不行!

HTTP-Only Cookies默认情况下阻止跨站点请求

HTTP-Only cookie应该对跨站点请求有严格的设置。默认情况下,如果请求来自第三方域名,cookie将不起作用。

稍后我们将深入探讨这个问题。

会话在加密方面并不昂贵。

我们不必验证经过签名的JWT会话,因为代币可以映射到用户id,并存储在基于内存的数据库(如Redis)中,以便进行快速的访问和读取操作。

通常,无状态是首选的方法,因为它允许服务在没有任何依赖关系的情况下大量运行(状态)。

使用有状态会话确实给我们带来了一个潜在的新挑战。

CSRF攻击

使用cookie时,我们需要注意跨站点请求伪造攻击。

当将代币存储在本地存储时,这种类型的攻击是不可能的。然而,有两种主要的方法可以防止这种情况。

Cookie设置

在生产环境中,我们应该设置HTTP-only,并将Secure标志设置为true(如果请求不是 HTTPS,浏览器不会放置 cookie)。

对于CSRF攻击,应该将Same-Site标志设置为“strict”。

将此标志设置为strict可以确保只允许来自与服务器相同域的请求。

例如,如果第三方网站试图在CSRF攻击中使用用户的会话执行请求,则不会设置 auth cookie,因为攻击者的域与您的域不匹配。

Anti-CSRF 代币

要确保我们的API只使用Post Requests执行更改。

GET请求应该只检索数据。

这些类型的攻击用户点击链接,然后该链接使用用户的活动会话嵌入一个请求表单来更改用户数据,而不访问实际的身份验证代币。

使用Anti-CSRF代币可以确保服务器可以验证客户端发送的POST请求来自实际的网站。

服务器检查接收到的代币是否与最初发送给客户端的代币匹配。

可扩展性

JWT教程喜欢谈论他们的 Todo List React App需要如何扩展以服务于数百万活跃用户。

虽然这是一个合理的问题,也是一个不可思议的未来问题,但将可扩展性置于安全性之上是不好的。

只解决应用程序的即时需求,而可扩展性可能不是其中之一。一台服务器可以服务成百上千的用户。

在本文结束时,我不能不提到可扩展性可能成为服务器端会话的一个问题。

如果可扩展性是应用程序的一个关注点,其实不必担心:我们很快就会修好。

需要注意的是,使用集群会产生额外的成本,但根据工作负载,这些成本不应该太高。一定要使用Redis的AWS计算器来进行估算,并决定服务器端会话对我们的项目来说是否是个好主意。

使我们的有状态会话处于“无状态”

如果应用程序不需要在其运行的同一个实例中存储任何状态,那么它就是无状态的。

如果数据库与应用程序运行在相同的服务器实例中,那么它就不是无状态的。

但是,如果我们独立于服务器实例运行数据库,则服务器是无状态的,因为它的唯一目的是处理业务逻辑。

存储数据是数据库关心的问题。

将会话存储在基于内存的数据库中

我们的服务器应该为每一个经过身份验证的请求要求会话数据。出于这个原因,我们想要优化读和写的操作。

使用我们的常规SQL或NoSQL数据库将非常费力,并可能导致高成本和速度放缓。

使用Redis

Redis是一个内存(键,值)对数据库,允许快速读写访问。

例如,AWS提供Redis集群,确保我们的操作通过自动扩展组保持可扩展性。

最后,让我们回顾一下使用有状态会话的工作流程,就像不久前使用JWT时一样。

用户输入他们的用户名和密码。

当用户单击登录按钮时,向服务器发送一个请求,使用数据库验证用户的凭据。

服务器认证用户成功。

服务器创建一个代币(UUID),将其映射到用户的数据库ID,并将其存储在Redis中。

服务器将Cookie附加到发送给浏览器的HTTP响应上。

客户端检查代币是否有效。

仅仅在标头中有一个HTTP-Only cookie并不意味着会话是处于活动状态。

浏览器向处理用户会话数据的服务器端点发送一个GET请求。因为Cookie向服务器提供了这个信息,所以这个请求不需要参数。

前端现在可以在应用程序中存储会话数据,而无需保留实际的代币。

客户端使用存储在代币中的信息有条件地渲染

通常,教程使用像用户的电子邮件,用户名等字段。这一次,信息通常是最新的,因为客户每次刷新网站时,信息都会更新。

HTTP-Only Cookie在每次请求时会自动发送

代币将一直有效到到期。但是,服务器可以根据需要撤销它。

我们应该知道,没有什么解决方案是万全之策,总会有权衡,也没有一种方法是100%安全的。漏洞总是存在的。但是,我们应该确保为我们的方法提供最好的安全性。

本文介绍了JWT及其作为web认证解决方案的缺点。然后我们找到了一种更好的(安全的)方法来实现我们的web应用程序的认证。

不过,我展示了一个使用有状态会话的简单实现。我们可能会想,到期怎么办?即使是一个星期也可能是一个很长的期限。

刷新代币

刷新代币并不是为了让事情变得简单,但是这里有一个大概的想法。

我们有两个代币:验证代币(用于验证我们的身份)和刷新代币。

身份验证代币可以是短暂的,例如,1-2天。当用户正在积极地使用他们的会话时,浏览器将不断地检查,以查看认证代币是否即将到期。当它检测到这一点时,它使用具有较长的到期时间的刷新代币,在前一个认证代币过期之前请求一个新的身份验证代币。

Long-Lived刷新代币引入了新的问题和复杂性,比如代币轮换和代币重用检查。

如果我们仍然想使用无状态会话,有些白费力气

像AWS Cognito或Firebase这样的库使用无状态代币,并将它们存储在本地存储中。

如果我们仍然希望使用无状态会话,请确保使用经过良好测试的、功能完整的库来为我们处理安全性。

这些库使用短期代币,不断刷新它们,并提供代币刷新轮换,以防止安全问题。

Source:https://medium.com/better-programming/stop-using-json-web-代币s-for-authentication-use-stateful-sessions-instead-c0a803931a5d

标签:SOLNFTSolanaDEGOsol币前景怎么样NFTART币solana币下半年会涨到多少价格dego币最新消息

币安app官网下载热门资讯
盘点10个Solana蓝筹NFT项目:DeGods、Portals和SMB等

Solana 上有哪些值得关注的 NFT 项目? 4 月 6 日, OpenSea 正式官宣支持 Solana,尽管自集成以来,OpenSea Solana NFT 交易量仅占 Solana 上最大 NFT 市场 Magic Eden 的约 2.5%,但我们不可否认 Solana NFT 在过去半年取得的亮眼表现和发展势头。

360推出元宇宙社交产品“N世界”

360近日推出了一款元宇宙产品“N世界”。据介绍,“N世界”是新一代的兴趣元宇宙,这里由一个个的“兴趣世界”构成,人人都可以创建自己的世界。用户在其中可以打造兴趣话题、语音互动沉浸式玩法、身份牌、私人专属领地。 据接近360的人士透露,360对于这款产品比较重视,并给予了“N世界”价值千万元的“n.cn”域名作为官网。

下一个“王牌空投”?zkSync生态系统交互指南

随着L2的繁荣,L2战争也愈演愈烈。有不少人认为?zkSync兴许会是这场竞赛的获胜者,而大约在一个月前,zkSync官方的一次AMA活动中,也说明了zkSync代币将会是社区所有的,也就是会有空投。 那么,如果您错过了$OP,您现在还能把握zkSync,这篇就让我们来看一看,在zkSync有哪些项目值得/需要我们去参与交互的。

Lithium Finance : 释放非流动资产的潜力

进入2021 年后,去中心化金融(DeFi)市场在「流动资产」方面的应用开发与基础设施,便逐渐面临饱和的状态,突破口逐渐缩小,因此,越来越多新创团队开始将注意力放在尚未被完全开发的「非流动资产」市场。 流动性是指资产转换成可使用资金的能力。

Tellie:基于NFT和Token的Web3网站创建工具

构思的歌曲如何宣发?创建的艺术作品如何销售?我们的作品集又如何展示呢?当然,我们可以通过去各个类别相对应的网站进行操作,但是,创建一个独属于自己的网站,不失为一种更好的办法。 Tellie 就是这样一个可以供创造者创建网站的工具。独立的创作者可以通过其表达自己、建立关系及销售作品。

三分钟了解红杉两轮领投的 Skiff:端到端加密协作工具

3月底,微博一位正在创业的博主发文称,团队用于协作的私密腾讯文档中出现了两名腾讯员工的浏览记录。对此,腾讯官方尚未给出回应。但在远程协作的常态化趋势下,这足以引发我们对协作工具隐私性的思考。 Skiff 为此而生,并获得了顶级风投的青睐。