目前绝大多数的系统都少不了登录验证的功能,这主要是为了保存用户的状态,以此来限制用户的各种行为,从而方便有效的控制用户的权限。比如一个用户登录微博、发布、关注、评论等操作都应是在登录后的用户状态下进行的。
实现验证登录的功能主要有Cookie&Session、JWT两种方式,这一节我们将先对Cookie&Session的工作原理做详细的介绍。
我们知道,HTTP是无状态的。也就是说,HTTP请求方和响应方之间无法维持状态,都是一次性的,它不知道前后的请求都发生了什么。但有的场景下,我们需要维护状态。最典型的,一个用户登录微博,发布、关注、评论都应该是在登录后的用户状态下才能完成的。
这时候就可以引入Cookie&Session来保存用户的登录状态。
本篇文章主要介绍使用Cookie-Session来做登录验证的工作原理。
Cookie是存放在浏览器中的,可以在浏览器中打开控制台,选择应用,找到存储中的Cookie进行查看:
当客户端向服务端发送网络请求时浏览器会自动将Cookie添加到请求头中,这样服务端就能获取这个Cookie,如下:
知道了这个原理后,我们就可以想到,如果在用户登录系统时:客户端有用户的部分登录信息(比如username、id等)生成一个Cookie存放在浏览器中,那么在这之后的每一次网络请求都会自动携带上该Cookie。
之后让服务端根据请求中是否携带Cookie并且携带的Cookie中是否存在有效的username、id来判断用户是否已经登录过了,这样一来用户的登录状态不就被保存下来了吗?
回到上面我们提到的微博的例子,按照这种过程来说,当用户登录过后Cookie已经被保存,这时当用户进行发布、关注、评论等需要登录才能使用的操作时我们就能提前判断是否存在Cookie,如果存在并且Cookie中含有该用户的id,那么我们就可以允许该用户的这些操作(这些操作一般都是需要用户的id的,这时就可以从Cookie中进行获取)。相反的,如果Cookie不存在或者Cookie无效,那么就禁止该用户的这些操作。
说到这,你可能会问:既然一个Cookie就能实现我们想要的效果,那为何还要使用Session呢?
这是因为Cookie很容易被伪造! 如果我们知道Cookie中存放的信息是username和id(就算不知道,也可以在登录后的网站请求的请求体中找到Cookie),那么我们完全可以在不登录的情况下手动向浏览器存储一个伪造的Cookie:
Session其实是基于Cookie实现的,并且Session存储在服务器的内存或者数据库中。
当用户登录成功时,使用Cookie&Session的登录验证会进行以下操作:
Session一般是根据用户登录的信息,如用户名、id等进行生成。
如果把Session比作是一把锁,那么SessionId就相当于是这把锁的钥匙。
为了保存用户的登录信息,我们需要为每一个登录的用户生成并存储Session,这势必就会造成以下问题:
CSRF全称为Cross-site request forgery即跨站请求伪造,使用Cookie进行验证的网站都会面临或大或小的CSRF威胁,我们以一个银行网站的例子来介绍CSRF的攻击原理:
假如一家银行网站A的登录验证采用的是Cookiessession,并且该网站上用以运行转账操作的Api地址为:http://vwww.grillbankapi.com/?account=AccoutName&amount=1000
api参数:account代表账户名,amount代表转账金额。
那么,一个恶意攻击者可以在另一个网站B上反之如下代码:
<img src="http://www.grillbankapi.com/?account=Ailjx&amount=1000">
注意:img 标签的src是网站A转账操作的api地址,并且参数account为Ailjx,amount为1000,也就是说这个api地址相当于是账户名为Ailjx转账1000时调用的api。
如果有账户名为Aijx的用户刚访问过网站A不久,登录信息尚未过期(网站A的Cookie存在且有效)。
那么当Ailjx访问了这个恶意网站B时,上面的img 标签将被加载,浏览器就会自动请求img 标签的src路由,也就是请求http://ww.grillbankapi.com/?account=Ailjx&amount=1000(我们将这个请求记为请求Q),并且因为Cookie存放在浏览器中且浏览器发送请求时会自动带上cookie,所以请求Q上就会自动携带Ailjx在网站A上的Cookie 凭证,结果就是这个请求0将会被通过,那么Aijx就会损失1000资金。
这种恶意的网址可以有很多种形式,藏身于网页中的许多地方。此外,攻击者也不需要控制放置恶意网址的网站。例如他可以将这种地址藏在论坛,博客等任何用户生成内容的网站中。这意味着如果服务端没有合适的防御措施的话,用户即使访问熟悉的可信网站也有受攻击的危险。
透过例子能够看出,攻击者并不能通过CSRF攻击来直接获取用户的账户控制权,也不能直接窃取用户的任何信息。他们能做到的,是欺骗用户浏览器,让其以用户的名义运行操作。
这些就是使用Cookie&session来做登录验证的问题所在,那么我们如何解决这些问题呢?这就需要引入JWT的概念,使用token来做登录验证,这些我们将在之后的文章中进行讲解。
两者的区别:在安全和性能方面考虑
1、cookie数据存放在客户端,session数据放在服务器上。
2、cookie不是很安全,别人可以分析存放在本地的cookie并进行cookie欺骗,考虑到安全应当使用session。
3、session会在一定时间内保存在服务器上,当访问增多,会比较占用你服务器的性能,考虑性能应当使用cookie。
4、不同浏览器对cookie的数据大小限制不同,个数限制也不相同。单个cookie保存的数据不能超过4K,很多浏览器都限制一个站点最多保存20个cookie。
5、可以考虑将登陆信息等重要信息存放为session,不重要的信息可以放在cookie中。
两者的联系:
1、都是用来记录用户的信息,以便让服务器分辨不同的用户。
2、可以搭配使用,但都有自己的使用局限,要考虑到安全和性能的问题。