专栏首页前端导学RESTFul架构权限设计

RESTFul架构权限设计

1 用户权限认证后获取服务端的token,将token存入客户端cookie中。

2 将cookie放入客户端请求页面的头部信息 X-CSRF-TOKEN中

示例代码

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="csrf-token" content="abcd">
    <title>Document</title>
</head>
<body>


<script src="//cdn.bootcss.com/jquery/2.2.1/jquery.js">
</script>
<script>
    $(function(){
        alert('ready');

        $.ajaxSetup({
            headers: {
                'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
            }
        });


        $.post('test_token.php',{username:"lilu"},function(){
            alert('back');
        });



    });


</script>
</body>
</html>

3 服务端验证token

function get_all_headers() {
    $headers = array();

    foreach($_SERVER as $key => $value) {
        if(substr($key, 0, 5) === 'HTTP_') {
            $key = substr($key, 5);
            $key = strtolower($key);
            $key = str_replace('_', ' ', $key);
            $key = ucwords($key);
            $key = str_replace(' ', '-', $key);

            $headers[$key] = $value;
        }
    }

    return $headers;
}

$a=get_all_headers();
if($a['X-Csrf-Token']=="abcd"){
    echo json_encode(['message'=>'ok']);
}else{
    echo json_encode(['message'=>'failed']);
}

如果怕token不安全,比如cookie的存储时间过长,被搜索引擎或者黑客截获。 那么可以在服务端增加对客户端请求地址来源(HTTP_ORIGIN)的判断,给反馈结果加上Access-Control-Allow-Origin的头部信息,从而阻止客户端对结果的读取。

其实怕token直接显示在url上被搜索引擎收录这个问题,只要我们不要把token写在url上,而是像上面的例子写在头部信息 X-CSRF-TOKEN

中就能破。

针对cookie可能被黑客截获的情况 代码大概如下

$http_origin_allow=['http://www.xxx.com','http://www.xxx.net'];

$http_origin = $_SERVER['HTTP_ORIGIN'];


        $j=count($http_origin_allow);
        for($i=0;$i<$j;$i++){

            if($http_origin==$http_origin_allow[$i]){
                 header("Access-Control-Allow-Origin: $http_origin");


            }
        }

那如果客户端对HTTP_ORIGIN 的值做了伪造怎么办? 这个嘛 我自己尝试去伪造 发现好像不能伪造,实在要是有高手能伪造成功,那么就使出终极大招封IP呗,宁可错杀一万,不可放过一个。

另一问题是 如果我希望我的API是公开被调用的,但是对每个IP的调用次数有个限制,那么就根据客户端的IP来控制调用次数即可 ,那么如果客户端的IP也是伪造的并且不断变化呢 ? 这个嘛 还没有想到怎么破 ,比较强硬的手段就是封锁ip。

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • JS模块化概念理解 原

    后来有人尝试用对象的方式来书写逻辑模块,但是这种写法有自己的弊端,比如这样的写法暴露了所有的模块成员,模块中的属性有被外部代码更改的风险。

    lilugirl
  • express简单笔记

    创建文件夹views ,在views里创建index.ejs , 在index.ejs内输入 hello lilu

    lilugirl
  • 会计学原理 读书笔记

    经济利益 financial well-being 会计(accounting)是确认,记录,传递具有相关性,可靠性和可比性的有关组织(企业)经营活动信息的...

    lilugirl
  • 旅行者探测器系统 --- 集域名扫描,端口扫描,目录扫描,漏洞扫描的工具系统

    作为一个渗透人员,在每次渗透网站的时候都要拿出一堆黑客工具,比如nmap, awvs, 御剑等工具进行测试,由于实在厌烦了一些低级重复性的工作,趁着2020年新...

    7089bAt@PowerLi
  • 智能客服成未来趋势,但当前体验还需改进

    镁客网
  • Nmap

    Nmap 是网络安全届的明星级工具了,在扫描届几乎无敌,同时配合Script可以实现基本的渗透测试。Nmap 是安全人员必须熟练掌握的一个工具

    意大利的猫
  • Robot Framework(3)- 基本概念

    https://www.cnblogs.com/poloyy/category/1770899.html

    小菠萝测试笔记
  • Python操作redis

    1 .用户登录首先判断是否在redis缓存中,如果在redis缓存中,直接登录成功; 2 .若用户未在redis缓存,则访问Mysql,判...

    Python攻城狮
  • 怎样让机器学会推理?伯克利AI研究所一文详解神经模块网络

    王小新 编译自 BAIR博客 量子位 出品 | 公众号 QbitAI 最近,加州大学伯克利分校人工智能研究所(BAIR)的博士生Jacob Andreas在博客...

    量子位
  • Python多线程爬虫,主播信息资料爬取采集

    头榜,一个集合主播信息及资讯的网站,内容比较齐全,现今直播火热,想要找寻各种播主信息,这类网站可以搜集到相关热门主播信息。

    二爷

扫码关注云+社区

领取腾讯云代金券