Rob*_*Rob 7 security rest session web-applications
大约一年前,我问过这个问题:你能帮我理解一下吗?"常见的REST错误:会话无关紧要".我的问题基本上是这样的:
好的,我得到HTTP身份验证是在每条消息上自动完成的 - 但是如何?是否每次请求都会发送用户名/密码?那不就是增加攻击面积吗?我觉得我错过了这个难题的一部分.
我收到的答案在移动(iPhone,Android,WP7)应用程序的上下文中非常有意义 - 在与REST服务交谈时,应用程序只会发送用户凭据以及每个请求.这对我很有用.
但是现在,我想更好地理解如何保护类似REST的网站,比如StackOverflow本身或像Reddit这样的东西.如果是用户通过网络浏览器登录而不是通过iPhone应用程序登录,情况会怎样?
我会坦率地说:我对网站安全性的理解非常有限,我不是网络开发人员(Damnit Jim,我是桌面开发人员!).我喜欢从应用程序角度使用REST服务,但现在我想尝试构建一个基于REST原则的网站,我发现自己很丢失.
如果上述问题中有任何内容不清楚您是否希望我澄清,请发表评论,我会解决.
如果您使用像Fiddler这样的代理,您可以确切地看到stackoverflow的作用.
它连接到/ users/authenticate /?s = ....上的资源,它在标题(gauth和usr)中使用两个"Set-Cookie"命令进行响应.
这些cookie在后续请求的头文件中传递给stackoverflow.
我假设stackoverflow从这些cookie中查找密钥以确保您之前已获得授权.当cookie过期时,您被视为已注销.
真正的问题是网络浏览器很糟糕。好吧,也许我只是很痛苦;-)。
如果您创建的网站使用标准 HTTP 身份验证机制之一(例如 Basic 或 Digest),那么浏览器将弹出登录屏幕,然后在以后的每个请求中使用这些凭据。
但是,大多数人希望控制其登录页面的外观,但据我所知,如果以这种方式捕获登录信息,则无法告诉浏览器,嘿,在将来的请求中在 Authentication 标头中使用这些凭据。
如果有一种方法可以告诉浏览器,嘿,您正在使用的那些凭据,请忘记它们,那就太好了。这将允许您有效地注销。
已经建议的解决方法是使用 cookie 来替代授权标头。这并不理想,但只要 cookie 仅用于提供身份验证信息而不是作为服务器端会话标识符,那么一切都很好。
| 归档时间: |
|
| 查看次数: |
2512 次 |
| 最近记录: |