“由于可擴展性,JWTokens是被推薦的認證方法。”
“JWTokens更易于使用。”
“JWToken是無狀態的,所以我們不需要使用服務器上的內存。”
我確信他們的意圖是好的,但是他們共享了一種不安全的用戶身份認證和授權用戶的方式,至少對于web應用程序是這樣的。
我們當然可以安全地使用JWT代幣,但是,我們可能不應該從頭實現它們,因為廣泛地保護它們會變得很復雜。
讓我們看一下使用JWT對用戶進行身份驗證的流程。
用戶輸入他們的用戶名和密碼——當用戶單擊登錄按鈕時,將向服務器發送一個請求,用數據庫驗證用戶的憑據。
服務器成功地驗證了用戶的身份——服務器現在使用一個密碼創建并簽署一個JWT,并在響應中返回它。
教程通常將到期時間設置為一周到30天。
客戶端在響應中接收JWT——開發人員(在像chrome這樣的客戶端中)接收它,應用一些邏輯,然后存儲它,通常是在本地存儲。
客戶端使用存儲在代幣中的信息來有條件地渲染——通常,教程使用像用戶的電子郵件、用戶名和布爾字段,如isAdmin。
客戶端將代幣添加為每個請求的標頭——如果代幣存在于本地存儲中,則用戶的會話是活動的。
服務器現在可以通過解密每個請求的簽名代幣來檢查用戶的身份。
代幣將一直有效到到期。
Binance杠桿代幣將停止ADAUP、ADADOWN交易及申購服務:8月9日消息,據官方公告,Binance將于2023年08月16日11:00(東八區時間)停止ADAUP/USDT、ADADOWN/USDT杠桿代幣交易對的交易和申購服務。停止交易后,所有掛單會被自動撤除。贖回服務將保留,用戶仍可進行贖回操作,贖回服務終止時間將另行公告[2023/8/9 21:34:14]
以這種方式使用JWT的所有問題。
響應包含JWT。
我們遇到的第一個危險信號是在響應中返回代幣。因此,前端代碼可以自由地讀取和存儲代幣。
訪問代幣會使跨站點腳本攻擊能夠竊取用戶的身份并代表他們發送請求。因為我們沒有關于用戶的會話信息,所以可能沒有辦法知道。
JWT在到期之前一直有效。
由于JWT認證是無狀態的,一旦服務器簽署了有效的代幣,就沒有辦法撤銷用戶的會話。
因此,使用長到期窗口+不安全存儲是黑客對我們的用戶造成嚴重損害的完美組合。
撤銷它們的唯一方法是更改簽名密鑰,這實際上將注銷我們的整個用戶群,因為所有代幣都將呈現為無效。
從長遠來看,本地存儲不安全。
在本地存儲中長時間存儲內容是不安全的,因為任何人都可以在瀏覽器中訪問它。
跨站點腳本可以從本地存儲中檢索代幣,因為它沒有加密或保護。
信息可能不同步。
這個問題不像其他問題那么嚴重。
存儲像isAdmin、用戶地址等字段可能本身并不安全,但這里有一個問題。
由于代幣是無狀態的,因此當信息發生變化時無法更新它們。因此,用戶的用戶名、電子郵件或權限可能與數據庫中的實際值不同步。
Bybit將于9月15日停止在巴西提供加密衍生品交易服務:9月15日消息,新加坡加密貨幣交易所Bybit將于9月15日停止在巴西提供加密期貨和期權等衍生品交易服務,并表示它正在與巴西證券委員會(CVM)進行談判,建議用戶管理他們的頭寸或訂單,稱不會暗示對用戶存入的衍生品資產進行任何形式的凍結。(CoinDesk)[2022/9/15 6:57:31]
允許跨域請求。
使用JWT,任何擁有代幣的人都可以發送有效的請求。
惡意網站可以從虛假域名向我們的網站發送請求,瀏覽器將允許它。
我們可以通過使用CORS來降低這種風險。
這些代幣對于驗證web應用程序來說并不安全,但這并不意味著它們是無用的。相反,有幾個用例可以很好地處理這些代幣。
使用JWT時:
到期窗口很小。(2小時)
請求不涉及將代幣存儲在瀏覽器中。
請求不需要加密。
一個真實的例子用例
最好的例子是控制對資源(如文件下載)的訪問。
假設我們的用戶一個月前購買了一款虛擬產品,想再次下載它。
我們會有一個開放的鏈接,使任何人都可以用來下載我們的虛擬產品嗎?
JWT代幣非常有用,因為我們可以創建短期訪問代幣來驗證用戶的身份,并臨時授予對購買內容的訪問權。
代幣不會存儲在任何地方,而且它會很快過期。因此,它允許我們輕松地處理可驗證的交易。
動態 | 美國兩州向5項ICO發行商發出停止令:據news.bitcoin報道,美國科羅拉多州和北達科他州已經分別對5項ICO項目的發行公司發出了停止令。其中,科羅拉多證券專員向發行Davorcoin的Davor公司,以及提供CCI令牌的Cyber?? Capital Invest公司分別發出了停止令。北達科他州則向另外三項ICO發行商Crystal Token、Advertiza Holdings(Pty)Ltd和Life Cross Coin發出了停止令。根據兩州證券委員會的說法,他們發行的token可能是欺騙性的證券發行。其中一項計劃承諾每月收益10%,并聲稱與黃金價格掛鉤。[2018/10/18]
如果我們曾經將第三方登錄與谷歌或其他提供商集成過,那么這就是使用JWT的一個很好的例子。
有狀態會話意味著服務器將用戶的會話存儲在內存或數據庫中。
盡管這需要進行一些權衡,但在實現時,它消除了前一種方法的大部分問題和安全問題。
然而,它確實帶來了一些其他的挑戰。這取決于我們的項目需求。
我們可以跟蹤用戶的會話活動(更容易)
使用有狀態會話,我們可以存儲有用的信息,如用戶的IP地址、會話持續時間、上次請求的時間戳,并查看每個用戶有多少活動會話。
服務器可以根據需要撤銷會話。
在觸發警告時(假設用戶有三個來自不同國家的活動會話),會話可以按需撤銷,以防止被盜代幣被使用——無需每30分鐘等待一次到期。
HTTP-Only cookie更安全
動態 | 美國德州SEC對三項加密欺詐計劃發出緊急停止令:據coindesk報道,美國德克薩斯州證券委員會已對三項試圖欺騙當地投資者的加密投資計劃采取緊急行動。根據周二公布的新聞稿,專員Travis J. Iles對總部位于俄羅斯的Coins Miner Investment Ltd.發出了第一份緊急停止令,該公司假裝代表美國加密交易所Coinbase向德克薩斯州居民募集資金。第二份緊急停止令的目標是DGBK有限公司,即DigitalBank,這是一家尋求資金開發聲稱“防黑客”加密錢包設備的公司。該公司錯誤地將奧巴馬的一段經過剪輯的視頻與該公司產品聯系起來。第三項行動的對象是Ultimate Assets,欲為德克薩斯州居民提供加密和外匯交易服務。根據緊急停止令,Ultimate Assets承諾若初始投資1000美元,可在在短短三周內價值10000美元。[2018/9/19]
沒有方法可以100%安全抵御所有攻擊。
我們必須將有狀態會話代幣(如UUID字符串)存儲在HTTP-Only cookie中。
一個HTTP-Only cookie意味著cookie被自動附加到每個客戶端請求,沒有人可以訪問瀏覽器中的代幣,甚至我們自己也不行!
HTTP-Only Cookies默認情況下阻止跨站點請求
HTTP-Only cookie應該對跨站點請求有嚴格的設置。默認情況下,如果請求來自第三方域名,cookie將不起作用。
稍后我們將深入探討這個問題。
會話在加密方面并不昂貴。
我們不必驗證經過簽名的JWT會話,因為代幣可以映射到用戶id,并存儲在基于內存的數據庫(如Redis)中,以便進行快速的訪問和讀取操作。
Upbit, 停止MTL交易:今天Upbit發布從12號開始韓國國內停止MTL的交易。從12號開始關于MTL的充值及提現的服務將全面停止,如果想要繼續交易MTL的顧客可以使用國外交易所[2018/1/10]
通常,無狀態是首選的方法,因為它允許服務在沒有任何依賴關系的情況下大量運行(狀態)。
使用有狀態會話確實給我們帶來了一個潛在的新挑戰。
CSRF攻擊
使用cookie時,我們需要注意跨站點請求偽造攻擊。
當將代幣存儲在本地存儲時,這種類型的攻擊是不可能的。然而,有兩種主要的方法可以防止這種情況。
Cookie設置
在生產環境中,我們應該設置HTTP-only,并將Secure標志設置為true(如果請求不是 HTTPS,瀏覽器不會放置 cookie)。
對于CSRF攻擊,應該將Same-Site標志設置為“strict”。
將此標志設置為strict可以確保只允許來自與服務器相同域的請求。
例如,如果第三方網站試圖在CSRF攻擊中使用用戶的會話執行請求,則不會設置 auth cookie,因為攻擊者的域與您的域不匹配。
Anti-CSRF 代幣
要確保我們的API只使用Post Requests執行更改。
GET請求應該只檢索數據。
這些類型的攻擊欺騙用戶點擊鏈接,然后該鏈接使用用戶的活動會話嵌入一個請求表單來更改用戶數據,而不訪問實際的身份驗證代幣。
使用Anti-CSRF代幣可以確保服務器可以驗證客戶端發送的POST請求來自實際的網站。
服務器檢查接收到的代幣是否與最初發送給客戶端的代幣匹配。
可擴展性
JWT教程喜歡談論他們的 Todo List React App需要如何擴展以服務于數百萬活躍用戶。
雖然這是一個合理的問題,也是一個不可思議的未來問題,但將可擴展性置于安全性之上是不好的。
只解決應用程序的即時需求,而可擴展性可能不是其中之一。一臺服務器可以服務成百上千的用戶。
在本文結束時,我不能不提到可擴展性可能成為服務器端會話的一個問題。
如果可擴展性是應用程序的一個關注點,其實不必擔心:我們很快就會修好。
需要注意的是,使用集群會產生額外的成本,但根據工作負載,這些成本不應該太高。一定要使用Redis的AWS計算器來進行估算,并決定服務器端會話對我們的項目來說是否是個好主意。
使我們的有狀態會話處于“無狀態”
如果應用程序不需要在其運行的同一個實例中存儲任何狀態,那么它就是無狀態的。
如果數據庫與應用程序運行在相同的服務器實例中,那么它就不是無狀態的。
但是,如果我們獨立于服務器實例運行數據庫,則服務器是無狀態的,因為它的唯一目的是處理業務邏輯。
存儲數據是數據庫關心的問題。
將會話存儲在基于內存的數據庫中
我們的服務器應該為每一個經過身份驗證的請求要求會話數據。出于這個原因,我們想要優化讀和寫的操作。
使用我們的常規SQL或NoSQL數據庫將非常費力,并可能導致高成本和速度放緩。
使用Redis
Redis是一個內存(鍵,值)對數據庫,允許快速讀寫訪問。
例如,AWS提供Redis集群,確保我們的操作通過自動擴展組保持可擴展性。
最后,讓我們回顧一下使用有狀態會話的工作流程,就像不久前使用JWT時一樣。
用戶輸入他們的用戶名和密碼。
當用戶單擊登錄按鈕時,向服務器發送一個請求,使用數據庫驗證用戶的憑據。
服務器認證用戶成功。
服務器創建一個代幣(UUID),將其映射到用戶的數據庫ID,并將其存儲在Redis中。
服務器將Cookie附加到發送給瀏覽器的HTTP響應上。
客戶端檢查代幣是否有效。
僅僅在標頭中有一個HTTP-Only cookie并不意味著會話是處于活動狀態。
瀏覽器向處理用戶會話數據的服務器端點發送一個GET請求。因為Cookie向服務器提供了這個信息,所以這個請求不需要參數。
前端現在可以在應用程序中存儲會話數據,而無需保留實際的代幣。
客戶端使用存儲在代幣中的信息有條件地渲染
通常,教程使用像用戶的電子郵件,用戶名等字段。這一次,信息通常是最新的,因為客戶每次刷新網站時,信息都會更新。
HTTP-Only Cookie在每次請求時會自動發送
代幣將一直有效到到期。但是,服務器可以根據需要撤銷它。
我們應該知道,沒有什么解決方案是萬全之策,總會有權衡,也沒有一種方法是100%安全的。漏洞總是存在的。但是,我們應該確保為我們的方法提供最好的安全性。
本文介紹了JWT及其作為web認證解決方案的缺點。然后我們找到了一種更好的(安全的)方法來實現我們的web應用程序的認證。
不過,我展示了一個使用有狀態會話的簡單實現。我們可能會想,到期怎么辦?即使是一個星期也可能是一個很長的期限。
刷新代幣
刷新代幣并不是為了讓事情變得簡單,但是這里有一個大概的想法。
我們有兩個代幣:驗證代幣(用于驗證我們的身份)和刷新代幣。
身份驗證代幣可以是短暫的,例如,1-2天。當用戶正在積極地使用他們的會話時,瀏覽器將不斷地檢查,以查看認證代幣是否即將到期。當它檢測到這一點時,它使用具有較長的到期時間的刷新代幣,在前一個認證代幣過期之前請求一個新的身份驗證代幣。
Long-Lived刷新代幣引入了新的問題和復雜性,比如代幣輪換和代幣重用檢查。
如果我們仍然想使用無狀態會話,有些白費力氣
像AWS Cognito或Firebase這樣的庫使用無狀態代幣,并將它們存儲在本地存儲中。
如果我們仍然希望使用無狀態會話,請確保使用經過良好測試的、功能完整的庫來為我們處理安全性。
這些庫使用短期代幣,不斷刷新它們,并提供代幣刷新輪換,以防止安全問題。
Source:https://medium.com/better-programming/stop-using-json-web-代幣s-for-authentication-use-stateful-sessions-instead-c0a803931a5d
Tags:OOKICOOKIECOOKHTTcookie幣種Small Fish CookieSAFECOOKIEHTT價格
7 月 11 日,幣安宣布正式開放杠桿交易(Margin Trading)。幣安 CEO 趙長鵬稱,“推出杠桿交易能夠同時滿足同一屋檐下的機構交易者和散戶的需求.
1900/1/1 0:00:00原文作者:Magnety Intern如您所知,如果沒有 Starknet 上強大的 DeFi 生態系統,Magnety 就無法發揮作用.
1900/1/1 0:00:00以太坊的Layer2解決方案Polygon被選入了一個獨家創業計劃,該計劃由迪士尼公司發起。Polygon是唯一進入2021年迪士尼加速器計劃的Crypto公司.
1900/1/1 0:00:00Ethereum 在 GameFi 生態中的項目數增長速度不及 BSC 和 Polygon 鏈上。而 BSC 和 Polygon 上的項目已成為當前加密市場中比較流行的游戲.
1900/1/1 0:00:00本文來自?DeFiChain,由 Odaily 星球日報譯者 Katie 辜編譯。DeFiChain 希望可以支撐起下一代去中心化金融應用程序、產品和服務,其目標客群是需要利用安全強大的網絡,并.
1900/1/1 0:00:00來源:老雅痞 PoolTogether是一個以Premium Bonds為基礎的加密貨幣驅動的儲蓄協議,是最早和最廣泛使用的DeFi(去中心化金融)應用之一,已經上線三年多了.
1900/1/1 0:00:00