許多
重慶網(wǎng)站制作在處理用戶訪問的下一項邏輯任務(wù)是管理通過驗證的會話。成功登陸應(yīng)用程序后,用戶會訪問各種頁面與功能,從瀏覽器提出一系列HTTP請求。與此同時,應(yīng)用程序還會收到各類用戶發(fā)出無數(shù)請求。
為實施有效的訪問控制,應(yīng)用程序需要識別并處理每一名用戶提交的各種請求。當用戶收到一個令牌時,瀏覽器會在隨后的HTTP請求中將它返回給服務(wù)器,幫助應(yīng)用程序?qū)⒄埱笈c該用戶聯(lián)系起來。為滿足這些要求,幾乎所有的
眉山網(wǎng)頁設(shè)計公司Web應(yīng)用程序都為每一位用戶建立一個會話,并向用戶發(fā)布一個標識會話的令牌。會話本身是一組保存在服務(wù)器上的數(shù)據(jù)結(jié)構(gòu),用于追蹤用戶與應(yīng)用程序的交互狀態(tài)。
令牌是一個唯一的字符串,應(yīng)用程序?qū)⑵溆成涞綍捴校m然許多應(yīng)用程序使用的隱藏表單字段(hidden form field)或URL查詢字符串(query string)傳送會話令牌(session token),但HTTP cookie才是實現(xiàn)這一目的的常規(guī)方法。如果用戶在一段時間內(nèi)沒有發(fā)出請求,會話將會自動終止。
如果令牌別攻擊,攻擊者就會刻意偽裝成被攻擊的用戶,像已經(jīng)通過驗證的用戶一樣使用應(yīng)用程序,就攻擊面而言,會話管理機制的有效基本上取決于其令牌的安全性,絕大多數(shù)針對它的攻擊都企圖攻破其他用戶的令牌。
少數(shù)應(yīng)用程序不向用戶發(fā)布會話令牌,而是通過其他方法在多個請求中重復(fù)確認用戶身份。令牌在生成的過程中存在的缺陷是主要的漏洞來源,使攻擊者能夠推測出發(fā)布給其他用戶的令牌,隨后,攻擊者再利用令牌中的缺陷截獲其他用戶的令牌。在其他情況下,應(yīng)用程序會將狀態(tài)信息保存在客戶端而非服務(wù)器上,通常還需要對這些信息進行加密,以防遭到破壞。
當前標題:Web驗證用戶的會話管理令牌
網(wǎng)站URL:http://jinyejixie.com/news36/170586.html
成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供面包屑導(dǎo)航、移動網(wǎng)站建設(shè)、微信公眾號、外貿(mào)網(wǎng)站建設(shè)、品牌網(wǎng)站建設(shè)、App設(shè)計
廣告
聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源:
創(chuàng)新互聯(lián)