文档章节

RESTFul架构权限设计

lilugirl
 lilugirl
发布于 2016/04/19 16:38
字数 505
阅读 141
收藏 15
点赞 1
评论 1

1 用户权限认证后获取服务端的token,将token存入客户端cookie中。

2 将cookie放入客户端请求页面的头部信息 X-CSRF-TOKEN中 

示例代码

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="csrf-token" content="abcd">
    <title>Document</title>
</head>
<body>


<script src="//cdn.bootcss.com/jquery/2.2.1/jquery.js">
</script>
<script>
    $(function(){
        alert('ready');

        $.ajaxSetup({
            headers: {
                'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
            }
        });


        $.post('test_token.php',{username:"lilu"},function(){
            alert('back');
        });



    });


</script>
</body>
</html>


3 服务端验证token


function get_all_headers() {
    $headers = array();

    foreach($_SERVER as $key => $value) {
        if(substr($key, 0, 5) === 'HTTP_') {
            $key = substr($key, 5);
            $key = strtolower($key);
            $key = str_replace('_', ' ', $key);
            $key = ucwords($key);
            $key = str_replace(' ', '-', $key);

            $headers[$key] = $value;
        }
    }

    return $headers;
}

$a=get_all_headers();
if($a['X-Csrf-Token']=="abcd"){
    echo json_encode(['message'=>'ok']);
}else{
    echo json_encode(['message'=>'failed']);
}


如果怕token不安全,比如cookie的存储时间过长,被搜索引擎或者黑客截获。 那么可以在服务端增加对客户端请求地址来源(HTTP_ORIGIN)的判断,给反馈结果加上Access-Control-Allow-Origin的头部信息,从而阻止客户端对结果的读取。 

其实怕token直接显示在url上被搜索引擎收录这个问题,只要我们不要把token写在url上,而是像上面的例子写在头部信息 X-CSRF-TOKEN

中就能破。


针对cookie可能被黑客截获的情况 代码大概如下 


$http_origin_allow=['http://www.xxx.com','http://www.xxx.net'];

$http_origin = $_SERVER['HTTP_ORIGIN'];


        $j=count($http_origin_allow);
        for($i=0;$i<$j;$i++){

            if($http_origin==$http_origin_allow[$i]){
                 header("Access-Control-Allow-Origin: $http_origin");


            }
        }


那如果客户端对HTTP_ORIGIN 的值做了伪造怎么办? 这个嘛 我自己尝试去伪造 发现好像不能伪造,实在要是有高手能伪造成功,那么就使出终极大招封IP呗,宁可错杀一万,不可放过一个。 


另一问题是 如果我希望我的API是公开被调用的,但是对每个IP的调用次数有个限制,那么就根据客户端的IP来控制调用次数即可 ,那么如果客户端的IP也是伪造的并且不断变化呢 ? 这个嘛 还没有想到怎么破 ,比较强硬的手段就是封锁ip。 

© 著作权归作者所有

共有 人打赏支持
lilugirl
粉丝 92
博文 373
码字总数 104583
作品 0
杨浦
程序员
加载中

评论(1)

yangjh_chs
yangjh_chs
赞一个
极简的Restful框架推荐->Resty(服务端+客户端)

源码链接:OSC -> Resty Github -> Resty 在线开发手册 如果你还不是很了解restful,或者认为restful只是一种规范不具有实际意义,推荐一篇osc两年前的文章:RESTful API 设计最佳实践 和 In...

Dreampie
2015/01/08
0
67
极简的RESTful框架(服务端+客户端)--Resty

源码链接:OSC -> Resty Github -> Resty 在线开发手册 如果你还不是很了解restful,或者认为restful只是一种规范不具有实际意义,推荐一篇osc两年前的文章:RESTful API 设计最佳实践 和 In...

Dreampie
2015/01/04
18.9K
20
Spring Boot 之 RESRful API 权限控制

摘要: 原创出处:www.bysocket.com 泥瓦匠BYSocket 希望转载,保留摘要,谢谢! “简单,踏实~ 读书写字放屁” 一、为何用RESTful API 1.1 RESTful是什么? RESTful(Representational State ...

泥沙砖瓦浆木匠
2016/04/20
342
4
推荐几个自己写的Java后端相关的范例项目(转载)

http://wosyingjun.iteye.com/blog/2312553 这里推荐几个自己写的范例项目,主要采用SSM(Spring+SpringMVC+Mybatis)框架,分布式架构采用的是(dubbo+zookeeper)。范例项目的好处是简单易...

指尖的舞者
2016/09/27
147
0
REST 风格的Web 架构与HTTP协议区别

以前学习过RESTFUL 的一些内容,在实践中发现RESTFUL 的Web 架构和HTTP 协议很类似,有点傻傻都分不清楚的感觉。例如,凭什么说我自己的web服务 是 RESTFUL 架构呢,而不是一个普通的HTTP 产...

水稻
2015/03/13
0
0
Flask Restful API权限管理设计与实现

在使用flask设计restful api的时候,有一个很重要的问题就是如何进行权限管理,以及如何进行角色的定义,在网上找了一下没有发现有类似的资料,虽然有些针对网站进行的权限管理设计,但是跟r...

geekpy
2017/08/10
0
0
RESTful API 设计参考文献--restful-api-design-references

restful-api-design-references是RESTful API 设计参考文献列表,可帮助你更加彻底的了解REST风格的接口设计。 RESTful 介绍及设计思路 Principles of good RESTful API Design(译:好 REST...

匿名
2016/09/12
1K
2
web后端开发——技术选择(一期)

后端技术选择 web框架:Django 标签:MVC、大而全、社区活跃、立刻部署、轮子多 MVC模式的核心是将功能完整的程序分成了业务逻辑上可以独立的三个部分:视图、模型、控制器。 在Django中,M...

王晓航
2017/12/23
0
0
Java企业架构--大兴互联网企业分布式平台

声明:该框架面向企业,是大型互联网分布式企业架构,后期会介绍linux上部署高可用集群项目。 平台简介 Jeesz是一个分布式的框架,提供项目模块化、服务化、热插拔的思想,高度封装安全性的J...

qq58edeba279279
06/26
0
0
RESTful API

RESTful API 一、RESTful简介 1.Restful是什么 本质:一种软件架构风格 核心:面向资源 解决的问题: ①降低开发的复杂性 ②提高系统的可伸缩性 2.设计概念和准则 ①网络上所有事物都可以被抽...

JS_HCX
01/08
0
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

SpringBoot | 第十章:Swagger2的集成和使用

前言 前一章节介绍了mybatisPlus的集成和简单使用,本章节开始接着上一章节的用户表,进行Swagger2的集成。现在都奉行前后端分离开发和微服务大行其道,分微服务及前后端分离后,前后端开发的...

oKong
今天
5
0
Python 最小二乘法 拟合 二次曲线

Python 二次拟合 随机生成数据,并且加上噪声干扰 构造需要拟合的函数形式,使用最小二乘法进行拟合 输出拟合后的参数 将拟合后的函数与原始数据绘图后进行对比 import numpy as npimport...

阿豪boy
今天
1
0
云拿 无人便利店

附近(上海市-航南路)开了家无人便利店.特意进去体验了一下.下面把自己看到的跟大家分享下. 经得现场工作人员同意后拍了几张照片.从外面看是这样.店门口的指导里强调:不要一次扫码多个人进入....

周翔
昨天
1
0
Java设计模式学习之工厂模式

在Java(或者叫做面向对象语言)的世界中,工厂模式被广泛应用于项目中,也许你并没有听说过,不过也许你已经在使用了。 简单来说,工厂模式的出现源于增加程序序的可扩展性,降低耦合度。之...

路小磊
昨天
165
1
npm profile 新功能介绍

转载地址 npm profile 新功能介绍 npm新版本新推来一个功能,npm profile,这个可以更改自己简介信息的命令,以后可以不用去登录网站来修改自己的简介了 具体的这个功能的支持大概是在6这个版...

durban
昨天
1
0
Serial2Ethernet Bi-redirection

Serial Tool Serial Tool is a utility for developing serial communications, custom protocols or device testing. You can set up bytes to send accordingly to your protocol and save......

zungyiu
昨天
1
0
python里求解物理学上的双弹簧质能系统

物理的模型如下: 在这个系统里有两个物体,它们的质量分别是m1和m2,被两个弹簧连接在一起,伸缩系统为k1和k2,左端固定。假定没有外力时,两个弹簧的长度为L1和L2。 由于两物体有重力,那么...

wangxuwei
昨天
0
0
apolloxlua 介绍

##项目介绍 apolloxlua 目前支持javascript到lua的翻译。可以在openresty和luajit里使用。这个工具分为两种模式, 一种是web模式,可以通过网页使用。另外一种是tool模式, 通常作为大规模翻...

钟元OSS
昨天
2
0
Mybatis入门

简介: 定义:Mybatis是一个支持普通SQL查询、存储过程和高级映射的持久层框架。 途径:MyBatis通过XML文件或者注解的形式配置映射,实现数据库查询。 特性:动态SQL语句。 文件结构:Mybat...

霍淇滨
昨天
2
0
开发技术瓶颈期,如何突破

前言 读书、学习的那些事情,以前我也陆续叨叨了不少,但总觉得 “学习方法” 就是一个永远在路上的话题。个人的能力、经验积累与习惯方法不尽相同,而且一篇文章甚至一本书都很难将学习方法...

_小迷糊
昨天
1
0

没有更多内容

加载失败,请刷新页面

加载更多

下一页

返回顶部
顶部