学习了Spring Security权限框架后,我说了csrf攻击的事。 前后两端没有分开是很好的。 每当我直接加载页面时,我都会发送token。 然后,服务器端的token保存在redis中就可以了。 每次要求我都更新token,以达到安全访问。
但是,在前后端没有分开的时候,前端会每次一次地要求后端获取token吗? 然后带着token访问后端吗?
那么,单独的这次请求后端怎么知道非攻击呢?
这个查了很多也没有有效的方法!
一个认识的伟人说:
前端直接加密生成token,后端接收token进行解密,后端怎么知道解密的是安全的?
另外,如果token的有效期设定为30分钟呢? 每次请求都带着这个长期的token请求后端,这可能吗?
我想了很久,但我还没有想出解决这个问题的合适构想。 大家有什么高见吗?
2020年12月29日更新
上述问题从一开始就不成立。 token是在用户使用用户名和密码登录后生成的,并具有有效期限。 我认为其他攻击行为无法取得token。 只要登录用户不自己使用token攻击,攻击就可以了。 反正我有乘幂token之类的性格,恶意的要求也无法跨越任何浪潮。 此外,还有权限框架。 一些权限不足的请求直接阻止了。 更糟糕的是,高权限的用户来工作,来了大量相同的ip请求,可以直接在权限框架中用token的部分屏蔽他。 他的ip无法取得token,表示他的账户冻结了。 结束了~