Session、Token验证的区别以及CSRF攻击

最新推荐文章于 2025-10-31 16:17:48 发布
原创 最新推荐文章于 2025-10-31 16:17:48 发布 · 8.1k 阅读 · 9 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#后端 #JAVA #登陆验证 #鉴权

本文探讨了Session和Token在用户登录验证中的差异,Session依赖于cookie保存会话信息,而Token自身携带用户信息,适用于前后端分离的场景。此外,详细解释了CSRF攻击的概念和危害,并提出了通过检查Referer字段和使用Token作为防御措施。

Session是什么

session意为“会话”。我们都知道HTTP是无状态的协议,但有时我们需要保存状态来进行后面的操作,比如某个电商网站的购物车功能(在不登录的情况下,也就是不使用数据库),如果不使用session,那么每次添加物品到购物篮后都不会保存,结果就是刷新一下购物篮就会变成空的。所以我们需要这个session来保存一定的状态。当用户打开某个网页的时候,就发生了一次会话,也就是产生了一个session,服务器会将session保存在服务器上,session中可能包括了用户信息,在用户离开网页之后,session就会被销毁。
本文这个不是重点,只是简单说下

session和token作为用户登陆手段的区别

session的作用机理

session在每一次会话开始的时候产生,其中存放会话的信息,每一个session都有一个session_id。在账号密码登陆成功后,会在session保存相应的登陆状态,然后服务器会将这个session_id存放在cookie中发送给客户端,这样浏览器下次访问的时候,会带着cookie中的session_id进行访问,服务器再根据这个session_id来找到对应的session,再去session中查找相关信息判断用户是否能正常登陆。

token的作用机理
  1. 客户端传送用户名和密码到服务器请求登陆,服务器在验证通过后签发一个有时效性的token,将token返回给客户端。
  2. 客户端收到token之后将这个token存储起来,可以放在Cookie或者LocalStorage里。
  3. 以后客户端每次访问服务器都会带着这个token,服务器收到请求,会验证这个token,如果验证成功,就会向客户端放回请求的资源。

看起来session的验证和token的验证很相似,都是从服务器返回一个数据,然后之后每次请求的时候都

最低0.47元/天 解锁文章
CSRF攻击Token验证错误的报错与修复
shejizuopin的博客
06-20 1056
摘要:本文探讨了CSRF(跨站请求伪造)攻击防御中Token验证的常见错误及修复方法。文章分析了Token不匹配、缺失配置不当等报错原因,提供了Node.js+Express、Spring Boot等框架的代码示例解决方案。通过表格示例对比了不同框架的Token验证问题,强调了确保Token一致性、正确传输配置检查的重要性。文章建议通过调试日志安全审计提升应用安全性,并加强开发人员安全意识培训。
CSRF攻击报错Forbidden (403)的Token验证机制
shejizuopin的博客
05-22 451
跨站请求伪造(CSRF攻击是一种利用用户登录状态执行未授操作的安全漏洞。为防御此类攻击Token验证机制被广泛采用。该机制通过在请求中嵌入随机生成的Token,并在服务器端验证其有效性来防止CSRF攻击。本文通过FlaskDjango的代码示例,展示了如何实现Token验证机制,并对比了手动实现与框架内置机制的优缺点。总结指出,Token验证机制是防御CSRF攻击的有效手段,开发者应根据框架特点选择合适的实现方式,确保Token的安全生成、传输验证,以提升应用安全性。
关于CSRF攻击及mvc中的解决方案 [ValidateAntiForgeryToken]
热门推荐
码过烟云
12-05 2万+
一.CSRF是什么?   CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 二.CSRF可以做什么?   你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚
浅谈Session机制及CSRF攻防
hl1293348082的专栏
04-07 943
在讲解CSRF攻击原理及流程之前,我想先花点时间讲讲浏览器信息传递中的Session机制。 Session机制 Session,中文意思是“会话”。对于“会话”我的理解是客户端与服务端间通信的一种方式,也可以简单的理解为一个用户从打开浏览器开始,访问一个web网站,点击某些超链接,访问某些服务端的资源,然后关闭浏览器的这一整个过程就是一次会话。 早期,客户端与服务端之间的每次信息传递都是独立的。这与HTTP协议的无状态性有关。用户发送的一个请求只是为了告诉服务端想访问的资源,然后服务端将用户要的资..
CSRF 攻击防御:Token 验证与 SameSite Cookie
最新发布
2501_93877046的博客
10-31 412
CSRF(跨站请求伪造)攻击利用用户已认证的会话状态,通过诱导用户访问恶意页面,伪造合法请求执行非预期操作。攻击者通过构造包含目标网站参数的链接或iframe,利用浏览器自动携带Cookie的特性,实现资金盗刷、数据篡改等高危行为。随着Web标准更新,SameSite属性将逐步成为默认防御机制,而Token验证将向JWT等无状态令牌演进,支持分布式系统防护13。Token 验证通过服务器生成唯一随机令牌,嵌入表单或请求头,与用户会话绑定。当用户发起请求时,服务器校验令牌匹配性,阻断非法请求4。
CSRF、Cookie、Sessiontoken之间不得不说得那些事儿
besmarterbestronger的博客
10-14 6111
文章目录1. 前言2. 什么是crsf?如何防止3. 什么是cookie?有什么用?机制?4. 什么是session?有什么用?机制?5. 什么是token?有什么用?为什么能防止csrf?6. 总结7. 参考文献 1. 前言 2. 什么是crsf?如何防止 3. 什么是cookie?有什么用?机制? 4. 什么是session?有什么用?机制? 5. 什么是token?有什么用?为什么能防止cs...
Day05-Cookie,Session,Csrf
m0_67425175的博客
04-26 204
Cookie Http短链接是什么?
token与cookie的区别?(token是如何避免CSRF攻击?)
看不见的博客
07-05 1782
token与cookie的区别token是如何避免CSRF攻击的?
【网络】Cookie、SessionToken、JWT及CSRF攻击
Voiceu的博客
06-10 818
由于HTTP是一种无状态的协议,所以当我打开淘宝,登录后,点击跳转结账(另一个页面),服务器端就不知道现在发请求的是不是我了,就得让我再次登录来确认身份。所以每一次请求的发生都是全新的,那么就需要一个来记录身份并且验证的东西,相对于通行证一样。这就是CookieSession的作用, 流程 客户端首次发出请求,服务器端收到后开辟一块 Session 空间(创建了Session对象),同时生成一个 sessionId ,并通过响应头的 **Set-Cookie:JSESSIONID=XXXXXXX **命
CSRF攻击报错Forbidden (403)的Token验证与SameSite Cookie
shejizuopin的博客
05-29 1036
摘要:本文详细解析了CSRF攻击原理及解决方案。CSRF攻击通过伪造用户请求执行未授操作,常见报错为Forbidden (403)。主要防护措施包括:1)Token验证(如Flask-WTFDjango内置CSRF保护);2)SameSite Cookie设置(Strict/Lax/None)。文中提供各框架的代码示例对比表格,建议根据应用场景选择合适方案,必要时可结合其他安全措施增强防护。
CSRF攻击与防御
Java/Android/IOS/前端/云计算
10-22 3122
发布时间:2012年08月28日 分享 推荐打印收藏 CSRF是Web应用程序的一种常见漏洞,其攻击特性是危害性大但非常隐蔽,尤其是在大量Web 2.0技术的应用背景下,攻击者完全可以在用户毫无察觉的情况下发起CSRF攻击。本文将对其基本特性、攻击原理、攻击分类、检测方法及防范手段做一个系统的阐述,并列举攻击实例。 文/H3C攻防团队 1 
Spring Security中防护CSRF功能
...
04-13 941
CSRF是什么? CSRF(Cross-site request forgery),中文名称:跨站请求伪造,也被称为:one click attack/session riding,缩写为:CSRF/XSRF。 CSRF可以做什么? 你这可以这么理解CSRF攻击攻击者盗用了你的身份,以你的名义发送恶意请求。CSRF能够做的事情包括:以你名义发送邮件,发消息,盗取你的账号,甚至于购买商品,虚拟货币转账…造成的问题包括:个人隐私泄露以及财产安全。 CSRF的原理 下图简单阐述了CSRF攻击的思想: 从上图可
shiro中实现防御CSRF攻击token解决方案
qq_27555691的博客
09-06 1729
首先,代码核心逻辑来自https://blog.youkuaiyun.com/qq_26848943/article/details/114023239#comments_18211700 其次,我对其进行了修改 1.shiroConfig类中加入防御代码如下 2. filters包下新建CsrfFilter类 说明: 1.csrfDomains在配置中配置,可参考链接的原文 2.在session中设csrfToken来作为token防御csrf攻击的主要防御手段, 3.paths集合是...
csrf漏洞表述/shiro漏洞分析-手把手教渗透笔记
程序员三九的博客
05-16 512
0x00 漏洞信息简介 ! Board(简称 !)是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来,!
后端分离解决CSRF问题
ws_flying的博客
10-22 3670
个人记录,如有错误,敬请指出 项目环境:spring boot+shiro+jwt 简单方式直接通过nginx对Referer进行校验拦截即可,本文不做讲解 1、创建CsrfFilter import org.springframework.web.filter.OncePerRequestFilter; import javax.servlet.FilterChain; import javax.servlet.ServletException; import javax.servlet.ht
JWT 加密
T525174893的博客
04-26 658
什么是JWT Json web token (JWT), 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准((RFC 7519).该token被设计为紧凑且安全的,特别适用于分布式站点的单点登录(SSO)场景。JWT的声明一般被用来在身份提供者服务提供者间传递被认证的用户身份信息,以便于从资源服务器获取资源,也可以增加一些额外的其它业务逻辑所必须的声明信息,该toke...
shiro安全框架扩展教程--设计数据对象校验器,如何防止xss以及csrf攻击
dawuafang
12-05 1176
很多时候我们都知道,xss,csrf都需要通过我们前台传入的数据,然后再输出到页面,渲染成可执行脚本,导致加载页面即可执行或者被动型的让用户点击各种常用的按钮来触发 脚本效果,所以我们需要严格筛选以及控制过滤数据对象的各个属性字段值,我相信很多人都用validator,但是我感觉这样可订制的灵活性是比较低的,然后我自己就想设计一个可插拔式,可订制的校验器;当我们的普通validator不再满足到...
安全漏洞修复帖
weixin_45067120的博客
03-09 2515
整理系统遇到的安全漏洞
CSRF(跨站请求伪造)详解
Y22Lee的博客
04-10 2195
CSRF全称Cross-Site Request Forgery,也被称为 one-click attack 或者 session riding,即跨站请求伪造攻击。当发现网站存在CSRF漏洞时,攻击者会利用网站源码,构建一个存有恶意请求的网站或者是链接,引诱受害者访问,那么当受害者在访问攻击者伪造的网站,同时,又在访问攻击攻击的目标网站且没有关闭会话,那么攻击者就成功完成了CSRF攻击攻击者可以发送请求包,比如:修改邮箱的,上传文件的等等。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值