用Session解决token有效时间短,降低token被劫持风险,确保单一设备登录

最新推荐文章于 2025-11-19 18:15:58 发布
原创 最新推荐文章于 2025-11-19 18:15:58 发布 · 426 阅读 · 5 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#后端 #安全

为什么引入Session

如果项目中仅使用token来检验身份,想要维持用户长时间不需要登录,那么就需要提高token的有效时间。但是token会存在被劫持的风险,如果token被劫持,那么坏人就可以拿着这个token长时间为所欲为。

为了解决这个问题,我们必须要限制token的有限时间,让其较短,即使token被劫持了,坏人也无法长时间为所欲为。但是如果token的有效时间较短,那么用户就需要频繁登录,用户体验会很差。这时候就要在服务端维持用户的登录状态,也就是Session。当用户登录成功后,服务端会创建一个Session对象,并将用户的身份信息存储在Session中,然后将一个唯一的标识符(sessionId)存入token返回给客户端。当token过期后,客户端主动发起刷新token的请求,服务端通过sessionId找到对应的Session对象,验证用户身份后重新生成token返回给客户端。

当Session过期后,用户才需要重新登录。token可以设置较短的有效时间,但是Session可以设置较长的过期时间。这样就可以解决频繁登录的问题,同时又能保证安全性。

如何进一步降低token劫持后的风险

session中记录用户的设备信息,并且存储在token中,在鉴权中间件这里加一层设备校验,如果设备信息不匹配,则不允许访问。

如何确保只有一台设备能够在线,并且后来的设备登录会将之前的踢下线

想复用此方案的前提是,项目中需要前端在登录后就要于后端维持websocket连接。
场景:用户A在小米设备登录了账号x,然后在用华为设备登录了账号x。

  1. A在用华为登录时,系统将数据库中当前用户的所有有效session设置为无效。

  2. 系统通过websocket通知小米设备,让其强制下线,并断开其连接。

  3. 小米设备如果接收到强制下线消息,则退出登录。如果没有收到,因为websocket断开,会尝试重连,这时后端会判断其token对应的session是否有效,如果无效,则通知其重新登录。

  4. 系统为华为设备创建一个新的session,并将这个新创建的sessionId存入token返回给客户端。

  5. 华为设备带着token跟后端建立websocket连接

HK.H
关注
【前端知识】Cookie, Session,Token和JWT的发展及区别(二)
xiaobaizaza_Ry的博客
05-02 1753
最通俗的关于Cookie, SessionToken和JWT的相关笔记和理解。在中章笔记中主要介绍一下Session。包括Session的定义,特点,重要属性,优缺点,作用和使用场景,以及介绍Session的作用域及相关判断,总结了Cookie与Session之间的区别。 上章:主要介绍背景和Cookie 中章:主要介绍一下Session并总结一下Cookie和Session。 下章:主要介绍Token的相关定义及理解。 终章:主要介绍JWT并总结JWT和Token的区别,以及总结Cookie到Token
登录机制彻底讲透:Cookie、SessionToken、JWT、OAuth2、OAuth2.1、Refresh Token、黑名单、SSO 完整指南
最新发布
一起修行,不孤单。这里有编程语言、开发工具、学习方法论和踩坑笔记。用简单的话说复杂的事,陪你从小白到进阶。周更干货,欢迎一起成长!
11-19 829
HTTP 是无状态的,所以需要身份凭证。Cookie 自动携带,Session 存在服务器。Session 适合传统 Web,不适合微服务。Token 自己传,跨域友好,可用于 APP。JWT 是最流行 Token,无状态,可扩展。JWT 缺陷:无法主动失效 → 需要 Refresh Token / 黑名单。JWT 是最佳选择。网关统一验证 JWT。OAuth2 是授权框架,不是认证协议。SSO 通常基于 OAuth2/OIDC + JWT。
独家披露:头部公司如何实现Dify会话历史亿级数据分页秒开
InstrIsle的博客
11-19 340
揭秘Dify会话历史分页查询亿级数据秒开方案,专为高并发场景设计。通过索引优化、分页缓存与查询预加载技术,显著提升响应速度,支撑头部公司大规模应用。性能提升90%以上,稳定承载海量会话记录,值得收藏。
如何防止token伪造、篡改、窃取
m0_69057918的博客
07-05 8891
防止token伪造、篡改、窃取的解决方案
令牌窃取及防范
weixin_45007073的博客
06-04 1519
令牌窃取什么是令牌伪造令牌原理令牌窃取 什么是令牌 令牌(Token)是指系统中的临时密钥,相当于账户和密码,用于决定是否允许当前请求及判断当前请求是属于哪个账户的。获得了令牌,就可以在不提供密码或其他凭证的情况下访问网络和系统资源。令牌会持续存在于系统内部,除非操作系统重新启动。 令牌最大的特点是随机性和不可预测性。一般的攻击者或软件都无法将令牌猜测出来。访问令牌(Access Token)代表访问控制操作主题的系统对象。密保令牌(Security Token)也叫作认证令牌或硬件令牌,是一种用于实现计算
cookie 和 token 都存放在 header 中,为什么不会劫持 token
rqz__的博客
09-14 1993
虽然Cookie和Token都存在一定的安全风险,但在合理使用的情况下,采取相应的安全措施可以有效降低劫持的风险。同时,开发人员也需要注意安全编码实践,避免XSS、CSRF等攻击方式。Cookie和Token都可以存放在HTTP请求的Header中进行传输,但它们有不同的机制来保护安全性,以防止劫持。
token那些事儿
D先生的博客
10-09 2043
一、token的介绍 接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、有点接口需要用户登录才能访问; 4、有点接口不需要...
如果一个用户的 token 被其他用户劫持了,怎样解决这个安全问题
Askrc
02-23 2万+
a、在存储的时候把 token 进行对称加密存储,用时解开。 b、将请求 URL、时间戳、token 三者进行合并加盐签名,服务端校验有效性。c.HTTPS 对 URL 进行
创建带时间戳的session值,以及设置token
02-20
添加时间戳到Session值中,可以确保Session有效性和安全性,防止Session劫持或重放攻击。 **二、Token** Token通常用于无状态的API交互,它是一个由服务器生成的唯一字符串,包含用户的身份信息和过期时间等。与...
springboot+redis+token保持登录
08-03
同时,服务器端应限制同一时间内一个Token只能在一个设备有效,防止会话劫持。 通过以上步骤,我们可以构建一个基于Spring Boot、Redis和Token登录保持系统,既解决了分布式环境下的Session管理问题,又实现了...
安全角度浅谈cookie、sessiontoken
Packet_Lee的博客
04-14 1163
前言: 为什么要研究cookie、sessiontoken呢? 我当前已经学习完了sql注入和部分xss攻击,其中都遇到了使用和获取cookie,不把cookie理解了,就无法完全理解黑客获取它的原因。同时深刻理解了这三者之间的关系,对于预防也有很大的指导意义。
cookie 和 token 都是存放在 header 中,为什么 token 不容易被劫持
weixin_64684095的博客
06-28 444
1. 攻击者通过 xss 就可以拿到 cookie 了,然后就可以伪造 cookie。而 token 一般是放到 jwt 中下发给客户端的,存储位置不固定,不会像 cookie 那样,通过 document.cookie 就可以拿到。而且就算拿到了 token,也是无效的 jwt。2. 通过 SCRF 在同个浏览器下通过浏览器会自动带上 cookie 的特性。在通过:用户网站-攻击者网站-攻击者请求用户网站的方式,浏览器会自动带上 cookie。而 token 不会被浏览器自动带上。
如何保证token安全性?
这天有点热的博客
07-12 7088
引入如何保证token安全性?原文在连接中,这里只是防止丢失做的备份。 接口的安全性主要围绕token、timestamp和sign三个机制展开设计,保证接口的数据不会被篡改和重复调用,下面具体来看: Token授权机制: 用户使用用户名密码登录后服务器给客户端返回一个Token(通常是UUID),并将Token-UserId以键值对的形式存放在缓存服务器中。服务端接收到请求后进行Token验证,如果Token不存在,说明请求无效。Token是客户端访问服务端的凭证。 时间戳超时机制: 用户每次请求都带上
如何确保您的Token安全:防范常见威胁与最佳实践
fudaihb的博客
05-14 4785
Token安全是网络安全领域的一个重要方面,尤其是在现代应用程序中,token常常用于身份验证和会话管理。本文将探讨如何保护token不受常见威胁的侵害,并提供一些最佳实践来增强token安全性。
Token泄露引发的问题
赵广陆
02-23 1万+
1 如何防止token劫持或者说是泄露? token肯定会存在泄露的问题。比如我拿到你的手机,把你的token拷出来,在过期之前就都可以以你的身份在别的地方登录解决这个问题的一个简单办法 在存储的时候把token进行对称加密存储,用时解开。 将请求URL、时间戳、token三者进行合并加盐签名或者缓存用户的ip地址也是不错的选择,服务端校验有效性。 这两种办法的出发点都是:窃取你存储的数据较为容易,而反汇编你的程序hack你的加密解密和签名算法是比较难的。然而其实说难也不难,所以终究是防君子不防小人的做
token的生成和应用
热门推荐
丶拾慌
08-09 6万+
接口特点汇总: 1、因为是非开放性的,所以所有的接口都是封闭的,只对公司内部的产品有效; 2、因为是非开放性的,所以OAuth那套协议是行不通的,因为没有中间用户的授权过程; 3、有点接口需要用户登录才能访问; 4、有点接口不需要用户登录就可访问;   针对以上特点,移动端与服务端的通信就需要2把钥匙,即2个token。 第一个token是针对接口的(api_token); 第二个
面试官:如何保证token安全
m0_60567796的博客
04-12 910
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
token的理解
dengjue7846的博客
04-03 273
token的意思是“令牌”,是服务端生成的一串字符串,作为客户端进行请求的一个标识。 当用户第一次登录后,服务器生成一个token并将此token返回给客户端,以后客户端只需带上这个token前来请求数据即可,无需再次带上用户名和密码。 简单token的组成;uid(用户唯一的身份标识)、time(当前时间时间戳)、sign(签名,token的前几位以哈希算法压缩成的一定长度的十六...
cookie 和 token 都存放在 header 中,为什么不会劫持 token?
jialiang808的博客
10-28 744
这种说法并不准确 ——,但相比 Cookie,Token 的存储和传输方式使其被劫持风险场景有所不同。
nodejs 双token机制怎么应用到session保存登录态上
07-31
我们计划实现一个双Token机制(Access Token + Refresh Token)来管理用户登录状态,并将用户信息存储在Session中。这种机制可以增强安全性,减少Access Token有效期,同时通过Refresh Token来更新Access Token,...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值