文档章节

RESTFul架构权限设计

lilugirl
 lilugirl
发布于 2016/04/19 16:38
字数 505
阅读 149
收藏 15

1 用户权限认证后获取服务端的token,将token存入客户端cookie中。

2 将cookie放入客户端请求页面的头部信息 X-CSRF-TOKEN中 

示例代码

<!doctype html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <meta name="csrf-token" content="abcd">
    <title>Document</title>
</head>
<body>


<script src="//cdn.bootcss.com/jquery/2.2.1/jquery.js">
</script>
<script>
    $(function(){
        alert('ready');

        $.ajaxSetup({
            headers: {
                'X-CSRF-TOKEN': $('meta[name="csrf-token"]').attr('content')
            }
        });


        $.post('test_token.php',{username:"lilu"},function(){
            alert('back');
        });



    });


</script>
</body>
</html>


3 服务端验证token


function get_all_headers() {
    $headers = array();

    foreach($_SERVER as $key => $value) {
        if(substr($key, 0, 5) === 'HTTP_') {
            $key = substr($key, 5);
            $key = strtolower($key);
            $key = str_replace('_', ' ', $key);
            $key = ucwords($key);
            $key = str_replace(' ', '-', $key);

            $headers[$key] = $value;
        }
    }

    return $headers;
}

$a=get_all_headers();
if($a['X-Csrf-Token']=="abcd"){
    echo json_encode(['message'=>'ok']);
}else{
    echo json_encode(['message'=>'failed']);
}


如果怕token不安全,比如cookie的存储时间过长,被搜索引擎或者黑客截获。 那么可以在服务端增加对客户端请求地址来源(HTTP_ORIGIN)的判断,给反馈结果加上Access-Control-Allow-Origin的头部信息,从而阻止客户端对结果的读取。 

其实怕token直接显示在url上被搜索引擎收录这个问题,只要我们不要把token写在url上,而是像上面的例子写在头部信息 X-CSRF-TOKEN

中就能破。


针对cookie可能被黑客截获的情况 代码大概如下 


$http_origin_allow=['http://www.xxx.com','http://www.xxx.net'];

$http_origin = $_SERVER['HTTP_ORIGIN'];


        $j=count($http_origin_allow);
        for($i=0;$i<$j;$i++){

            if($http_origin==$http_origin_allow[$i]){
                 header("Access-Control-Allow-Origin: $http_origin");


            }
        }


那如果客户端对HTTP_ORIGIN 的值做了伪造怎么办? 这个嘛 我自己尝试去伪造 发现好像不能伪造,实在要是有高手能伪造成功,那么就使出终极大招封IP呗,宁可错杀一万,不可放过一个。 


另一问题是 如果我希望我的API是公开被调用的,但是对每个IP的调用次数有个限制,那么就根据客户端的IP来控制调用次数即可 ,那么如果客户端的IP也是伪造的并且不断变化呢 ? 这个嘛 还没有想到怎么破 ,比较强硬的手段就是封锁ip。 

© 著作权归作者所有

lilugirl
粉丝 96
博文 437
码字总数 127085
作品 0
杨浦
程序员
私信 提问
加载中

评论(1)

yangjh_chs
yangjh_chs
赞一个
极简的RESTful框架(服务端+客户端)--Resty

源码链接:OSC -> Resty Github -> Resty 在线开发手册 如果你还不是很了解restful,或者认为restful只是一种规范不具有实际意义,推荐一篇osc两年前的文章:RESTful API 设计最佳实践 和 In...

Dreampie
2015/01/04
18.9K
20
极简的Restful框架推荐->Resty(服务端+客户端)

源码链接:OSC -> Resty Github -> Resty 在线开发手册 如果你还不是很了解restful,或者认为restful只是一种规范不具有实际意义,推荐一篇osc两年前的文章:RESTful API 设计最佳实践 和 In...

Dreampie
2015/01/08
0
67
RESTful API 编写指南

本文首载于 Gevin的博客 基于一些不错的RESTful开发组件,可以快速的开发出不错的RESTful API,但如果不了解开发规范的、健壮的RESTful API的基本面,即便优秀的RESTful开发组件摆在面前,也...

Gevin
2016/06/06
0
0
Flask Restful API权限管理设计与实现

在使用flask设计restful api的时候,有一个很重要的问题就是如何进行权限管理,以及如何进行角色的定义,在网上找了一下没有发现有类似的资料,虽然有些针对网站进行的权限管理设计,但是跟r...

geekpy
2017/08/10
0
0
Spring Boot 之 RESRful API 权限控制

摘要: 原创出处:www.bysocket.com 泥瓦匠BYSocket 希望转载,保留摘要,谢谢! “简单,踏实~ 读书写字放屁” 一、为何用RESTful API 1.1 RESTful是什么? RESTful(Representational State ...

泥沙砖瓦浆木匠
2016/04/20
342
4

没有更多内容

加载失败,请刷新页面

加载更多

Archsummit 2019重磅分享|闲鱼Flutter&FaaS云端一体化架构

作者:闲鱼技术-国有   讲师介绍 国有,闲鱼架构团队负责人。在7月13号落幕的2019年Archsummit峰会上就近一年来闲鱼在Flutter&FaaS一体化项目上的探索和实践进行了分享。 传统Native+Web+...

阿里云云栖社区
11分钟前
1
0
总结无线AP与AC之间的各种问题

无线网络搭建中,都说AP+AC的组网模式最现在最先进的,但是在使用过程中还是存在一些问题,下面这些有没有大家碰到的呢? 无线网络搭建中,都说AP+AC的组网模式最现在最先进的,但是在使用过程...

Linux就该这么学
19分钟前
2
0
bootstrap 图标使用说明

1、小图标使用说明 <i class="fa fa-search"></i>详情<a class="btn btn-warning btn-xs"><i class="fa fa-search"></i>搜索</a> 2、元素背景颜色 我们先来看看元素背景的颜色有哪几......

moon888
21分钟前
1
0
windows 远程下载sftp 服务器 文件

下载 putty https://www.chiark.greenend.org.uk/~sgtatham/putty/latest.html 把安装后的 psftp.exe 放到需要下载文件的目录 尝试执行远程连接 运行 psftp.exe open : 111:111:111:111 录入...

donald121
37分钟前
3
0
阿里、网易和腾讯面试题 C/C++

一、线程、锁 1、Posix Thread互斥锁 线程锁创建 a.静态创建 pthread_mutex_tmutex = PTHREAD_MUTEX_INITIALIZER; b.动态创建 pthread_mutex_tmutex = pthread_mutex_init(pthread_mutex_t*......

linux服务器架构
38分钟前
4
0

没有更多内容

加载失败,请刷新页面

加载更多

返回顶部
顶部