您好,登錄后才能下訂單哦!
這篇文章主要介紹“Node學(xué)習(xí)之聊聊Cookie-Session登錄驗(yàn)證的工作原理”的相關(guān)知識(shí),小編通過(guò)實(shí)際案例向大家展示操作過(guò)程,操作方法簡(jiǎn)單快捷,實(shí)用性強(qiáng),希望這篇“Node學(xué)習(xí)之聊聊Cookie-Session登錄驗(yàn)證的工作原理”文章能幫助大家解決問(wèn)題。
我們知道,HTTP 是無(wú)狀態(tài)的。也就是說(shuō),HTTP 請(qǐng)求方和響應(yīng)方間無(wú)法維護(hù)狀態(tài),都是一次性的,它不知道前后的請(qǐng)求都發(fā)生了什么。但有的場(chǎng)景下,我們需要維護(hù)狀態(tài)。最典型的,一個(gè)用戶登陸微博,發(fā)布、關(guān)注、評(píng)論,都應(yīng)是在登錄后的用戶狀態(tài)下的。
這個(gè)時(shí)候就可以引入Cookie
與Session
來(lái)保存用戶的登錄狀態(tài)。
Cookie
是存放在瀏覽器中的,可以在瀏覽器中打開(kāi)控制臺(tái)
,選擇應(yīng)用
,找到存儲(chǔ)
中的Cookie
進(jìn)行查看:
當(dāng)客戶端向服務(wù)端發(fā)送網(wǎng)絡(luò)請(qǐng)求時(shí)瀏覽器會(huì)自動(dòng)將Cookie
添加到請(qǐng)求頭中,這樣服務(wù)端就能獲取這個(gè)Cookie
,如下:
知道了這個(gè)原理后,我們就可以想到,如果在用戶登錄系統(tǒng)時(shí):客戶端由用戶的部分登錄信息(比如username
、id
等)生成一個(gè)Cookie
存放到瀏覽器中,那么在這之后的每一次網(wǎng)絡(luò)請(qǐng)求都會(huì)自動(dòng)攜帶上該Cookie
。
之后讓服務(wù)端根據(jù)請(qǐng)求中是否攜帶Cookie
并且攜帶的Cookie
中是否存在有效的username
、id
來(lái)判斷用戶是否已經(jīng)登錄過(guò)了,這樣一來(lái)用戶的登錄狀態(tài)不就被保存下來(lái)了嗎。
回到上面我們提到的微博的例子,按照這種過(guò)程來(lái)說(shuō),當(dāng)用戶登錄過(guò)后Cookie
已經(jīng)被保存,這時(shí)當(dāng)用戶進(jìn)行發(fā)布、關(guān)注、評(píng)論等需要登錄才能使用的操作時(shí)我們就能提前判斷是否存在Cookie
,如果存在并且Cookie
中含有該用戶的id
,那么我們就可以允許該用戶的這些操作(這些操作一般都是需要用戶的id
的,這時(shí)就可以從Cookie
中進(jìn)行獲?。?。相反的,如果Cookie
不存在或者Cookie
無(wú)效,那么就禁止該用戶的這些操作。
說(shuō)到這,你可能會(huì)問(wèn):既然一個(gè)Cookie
就能實(shí)現(xiàn)我們想要的效果,那為何還要使用Session
呢?
這是因?yàn)?nbsp;Cookie
很容易被偽造! ,如果我們知道了Cookie
中存放的信息是username
和id
(就算不知道,也可以在登錄后的網(wǎng)絡(luò)請(qǐng)求的請(qǐng)求體中找到Cookie
),那么我們完全可以在不登錄的情況下手動(dòng)向?yàn)g覽器存儲(chǔ)一個(gè)偽造的Cookie
:
說(shuō)到這,你應(yīng)該就能明白為什么不能單獨(dú)使用Cookie
了吧。
Session
其實(shí)是基于Cookie
實(shí)現(xiàn)的,并且Session
存儲(chǔ)在服務(wù)端的內(nèi)存或者數(shù)據(jù)庫(kù)中。
當(dāng)用戶登錄成功時(shí),使用Cookie&Session
的登錄驗(yàn)證會(huì)進(jìn)行以下操作:
由服務(wù)端生成Session
與SessionId
;
Session
一般是根據(jù)用戶登錄的信息,如用戶名、id
等進(jìn)行生成。
如果把Session
比作是一把鎖,那么SessionId
就相當(dāng)于是這把鎖的鑰匙。
服務(wù)端將Session
存儲(chǔ)到內(nèi)存或者數(shù)據(jù)庫(kù)中;
服務(wù)端將SessionId
存放到請(qǐng)求的響應(yīng)頭(response
對(duì)象)中的Set-Cookie
字段中發(fā)送給客戶端;
客戶端收到Set-Cookie
后會(huì)自動(dòng)將Set-Cookie
的值(也就是SessionId
)存放到Cookie
中;
之后的每次網(wǎng)絡(luò)請(qǐng)求都會(huì)自動(dòng)帶上Cookie
,也就是帶上這個(gè)SessionId
;
服務(wù)端收到后續(xù)請(qǐng)求時(shí)獲取請(qǐng)求上的Cookie
,也就是獲取到了SessionId
,然后通過(guò)SessionId
查詢并校驗(yàn)服務(wù)端存儲(chǔ)的Session
,若校驗(yàn)成功說(shuō)明這個(gè)SessionId
有效則通過(guò)此次請(qǐng)求,反之則阻止此次請(qǐng)求。
圖示:
為了保存用戶的登錄狀態(tài),我們需要為每一位登錄的用戶生成并存儲(chǔ)Session
,這勢(shì)必就會(huì)造成以下問(wèn)題:
如果Session
存放到內(nèi)存中,那么當(dāng)服務(wù)端重啟時(shí),這些內(nèi)存中的Session
都將被清除,那么所有用戶的登錄狀態(tài)都將會(huì)過(guò)期,并且當(dāng)用戶量較大時(shí),過(guò)多的內(nèi)存占用也勢(shì)必會(huì)影響服務(wù)端的性能。
如果Session
存放到數(shù)據(jù)庫(kù)中,雖然能夠解決因服務(wù)端重啟造成用戶登錄狀態(tài)過(guò)期的問(wèn)題,但當(dāng)用戶量較大時(shí),對(duì)于這個(gè)數(shù)據(jù)庫(kù)的維護(hù)也會(huì)變得相對(duì)困難。
如果前端頁(yè)面中調(diào)用的接口來(lái)自兩個(gè)服務(wù)器(也就是兩套數(shù)據(jù)庫(kù)),為了實(shí)現(xiàn)Session
在兩個(gè)服務(wù)器間共享通常會(huì)將Session
存放到一個(gè)單獨(dú)的數(shù)據(jù)庫(kù)中,這樣就使得整個(gè)項(xiàng)目變得更為復(fù)雜也更加難以維護(hù)。
CSRF全稱為 Cross-site request forgery 即 跨站請(qǐng)求偽造,使用Cookie
進(jìn)行驗(yàn)證的網(wǎng)站都會(huì)面臨或大或小的CSRF
威脅,我們以一個(gè)銀行網(wǎng)站的例子來(lái)介紹CSRF的攻擊原理:
假如一家銀行網(wǎng)站A
的登錄驗(yàn)證采用的是Cookie&Session
,并且該網(wǎng)站上用以運(yùn)行轉(zhuǎn)賬操作的Api地址
為:http://www.grillbankapi.com/?account=AccoutName&amount=1000
api
參數(shù):account
代表賬戶名,amount
代表轉(zhuǎn)賬金額。
那么,一個(gè)惡意攻擊者可以在另一個(gè)網(wǎng)站B
上放置如下代碼:
<img src="http://www.grillbankapi.com/?account=Ailjx&amount=1000">
注意:
img
標(biāo)簽的src
是網(wǎng)站A
轉(zhuǎn)賬操作的api地址
,并且參數(shù)account
為Ailjx,amount
為1000,也就是說(shuō)這個(gè)api地址
相當(dāng)于是賬戶名為 Ailjx 轉(zhuǎn)賬1000 時(shí)調(diào)用的api
。
如果有賬戶名為 Ailjx 的用戶剛訪問(wèn)過(guò)網(wǎng)站A
不久,登錄信息尚未過(guò)期(網(wǎng)站A
的Cookie
存在且有效)。
那么當(dāng) Ailjx 訪問(wèn)了這個(gè)惡意網(wǎng)站B
時(shí),上面的img
標(biāo)簽將被加載,瀏覽器就會(huì)自動(dòng)請(qǐng)求img
標(biāo)簽的src
路由,也就是請(qǐng)求http://www.grillbankapi.com/?account=Ailjx&amount=1000
(我們將這個(gè)請(qǐng)求記為請(qǐng)求Q
),并且因?yàn)?code>Cookie存放在瀏覽器中且瀏覽器發(fā)送請(qǐng)求時(shí)會(huì)自動(dòng)帶上Cookie
,所以請(qǐng)求Q
上就會(huì)自動(dòng)攜帶 Ailjx 在網(wǎng)站A
上的Cookie
憑證,結(jié)果就是這個(gè) 請(qǐng)求Q
將會(huì)被通過(guò),那么 Ailjx 就會(huì)損失1000資金。
這種惡意的網(wǎng)址可以有很多種形式,藏身于網(wǎng)頁(yè)中的許多地方。 此外,攻擊者也不需要控制放置惡意網(wǎng)址的網(wǎng)站。例如他可以將這種地址藏在論壇,博客等任何用戶生成內(nèi)容的網(wǎng)站中。這意味著如果服務(wù)端沒(méi)有合適的防御措施的話,用戶即使訪問(wèn)熟悉的可信網(wǎng)站也有受攻擊的危險(xiǎn)。
透過(guò)例子能夠看出,攻擊者并不能通過(guò)CSRF攻擊來(lái)直接獲取用戶的賬戶控制權(quán),也不能直接竊取用戶的任何信息。他們能做到的,是欺騙用戶瀏覽器,讓其以用戶的名義運(yùn)行操作。
這些就是使用Cookie&Session
來(lái)做登錄驗(yàn)證的問(wèn)題所在,那么我們?nèi)绾谓鉀Q這些問(wèn)題呢?這就需要引入JWT的概念,使用token
來(lái)做登錄驗(yàn)證,這些我們將在之后的文章中進(jìn)行講解。
關(guān)于“Node學(xué)習(xí)之聊聊Cookie-Session登錄驗(yàn)證的工作原理”的內(nèi)容就介紹到這里了,感謝大家的閱讀。如果想了解更多行業(yè)相關(guān)的知識(shí),可以關(guān)注億速云行業(yè)資訊頻道,小編每天都會(huì)為大家更新不同的知識(shí)點(diǎn)。
免責(zé)聲明:本站發(fā)布的內(nèi)容(圖片、視頻和文字)以原創(chuàng)、轉(zhuǎn)載和分享為主,文章觀點(diǎn)不代表本網(wǎng)站立場(chǎng),如果涉及侵權(quán)請(qǐng)聯(lián)系站長(zhǎng)郵箱:is@yisu.com進(jìn)行舉報(bào),并提供相關(guān)證據(jù),一經(jīng)查實(shí),將立刻刪除涉嫌侵權(quán)內(nèi)容。