生成后的token不放在header，直接post過去安全嗎？

實(shí)際上這是 HTTP 規(guī)范的要求。

只要通過http就有可能被截取就不安全，你可以考慮使用js在發(fā)送請(qǐng)求時(shí)在客戶端使用加密算法計(jì)算出動(dòng)態(tài)的token，不過這樣只是增加了破解的復(fù)雜程度，偽造token依然是可能的

用 SSL……

有道理。。。

文章很詳細(xì)~ 收益了~

好文

無意中看到這篇文章， 寫得真不錯(cuò)。 唯一一點(diǎn)不太敢茍同， “CSRF Free——不依賴 Cookie，完全不擔(dān)心跨域偽造請(qǐng)求攻擊”， 我的意思是，就算是 token, 獲取到之后也是可以偽造請(qǐng)求的阿

跨域是不行的吧？你可以拿到我的 token，但是我會(huì)對(duì) token 的來源加以校驗(yàn)，如果是來自于信任的域也就不用擔(dān)心“偽造”了吧。當(dāng)然我不是安全領(lǐng)域的專家，答案里也是參考過去學(xué)到的資料，如有疏漏還請(qǐng)指正細(xì)節(jié)。多謝。

關(guān) 鍵就是你怎么能對(duì)來源加以校驗(yàn)?zāi)? 試想一下你的 app 有 10W 用戶, 分布在全國各地, 對(duì)服務(wù)器來說，每一個(gè)過來的 token 和服務(wù)器都不是一個(gè)域的. 這個(gè)沒法校驗(yàn)的. 而通常說的跨域安全問題, 是瀏覽器端的安全策略, 是為了防止諸如 XSS 跨站腳本在竊取了用戶信息之后將這些信息傳回給自己的服務(wù)器. 瀏覽器限定瀏覽某個(gè)網(wǎng)站時(shí)所加載的腳本, 后續(xù)也只能夠從同一個(gè)網(wǎng)站請(qǐng)求或提交資源 (比如通過 Ajax 等手段)

對(duì)， 你說的是有沒錯(cuò)。我個(gè)人是這么來考慮的：用戶是通過登錄請(qǐng)求來獲得后續(xù)的訪問 token 的，那么在處理登錄請(qǐng)求的時(shí)候除了驗(yàn)證有效性之外自然也可以記錄本次登錄的來源域，那么此后附加了該 token 的請(qǐng)求自然也是同域的視為安全（服務(wù)端可以記住登錄請(qǐng)求的來源域用以后續(xù)檢查）。竊取 token 之后的訪問若是來自于不同的域，則可以視為偽造請(qǐng)求。當(dāng)然跨域安全是如你所說，主要指的是瀏覽器端的安全策略，由于我不是安全方面的專家，故此我能想到的 驗(yàn)證方式大概就是以上所述。

在實(shí)際的應(yīng)用中我和我所在的團(tuán)隊(duì)都是直接使用了第三方的驗(yàn)證組件來處理 token 的事情，比如基于 JWT 的實(shí)現(xiàn)等等。然而很抱歉的是我對(duì)這些組件的實(shí)現(xiàn)細(xì)節(jié)還沒有機(jī)會(huì)仔細(xì)去研究，也不知道是不是如我所想這樣來處理這方面的安全問題。你的回復(fù)倒是給我提了一個(gè) 醒，有必要去深究一下實(shí)現(xiàn)的細(xì)節(jié)，看看在這方面有沒有漏洞吧。

至于答案處列出的那幾條，坦白說我也是摘抄自一些文章或文檔，由于都是個(gè)人筆記留下的記錄，現(xiàn)在也想不起來具體的出處。如果確認(rèn) token 對(duì)跨域偽造請(qǐng)求無能為力的話，我也會(huì)改正它。也請(qǐng)諸位知曉者提供可靠的佐證。

我 覺得你第一段所說的說應(yīng)該是你剛剛想出來的... 實(shí)際上 access_token/token 的設(shè)計(jì)思路不是這樣的, 它并沒有被設(shè)計(jì)成能夠記錄用戶的狀態(tài), 啊, 我們這里的主題是 RESTful API, 要知道, HTTP 是無狀態(tài)的. 你可以查一下業(yè)內(nèi)的哪些各種服務(wù)提供商它們的 api 里的 access_token 的設(shè)計(jì)思路, 包括 OAuth2 的設(shè)計(jì)思路. 不會(huì)是用 token 來記錄請(qǐng)求來源的.

而且, 就算這么做, 這種方式也是有問題的, 試想我今天在上海登錄了你的 app, 明天我去北京了, 難道我就得被強(qiáng)制下線重新登陸嗎? 當(dāng)然有很多服務(wù)會(huì)判斷出你某次不在常用登錄地點(diǎn)登錄, 會(huì)強(qiáng)制讓你重新登陸. 但那是 IP 層面安全機(jī)制, 不是 HTTP 的了.

你們團(tuán)隊(duì)使用的第三方驗(yàn)證組件應(yīng)該就是類似于 Google OpenID 或者提供 OAuth2.0 服務(wù)那種吧? 我基本可以肯定的是它們也不會(huì)把請(qǐng)求來源作為安全驗(yàn)證項(xiàng)的.

我也不是什么安全從業(yè)者, 也沒有什么全面的見解, 希望沒有誤導(dǎo)別人 :)

1. 是的，那是剛才匆匆想的，因?yàn)榇饲安]有研究過安全性的問題，所以只是個(gè)人一時(shí)的思路，見笑了。

2. 不是 OpenID 或 OAuth 1/2，而是 JWT，詳細(xì)內(nèi)容可以看這里（以及下面的討論，內(nèi)容很廣泛，信息量也挺大，我是留存準(zhǔn)備有時(shí)間去研究的）https://news./item?id=7137498

這些問題我現(xiàn)在無法準(zhǔn)確翔實(shí)的回答你，不過上面的文章和討論或許會(huì)給我們帶來新的知識(shí)和見解。我粗略的閱讀過它們，覺得還有很多底層的知識(shí)有待學(xué)習(xí) 才能搞清楚安全方面的細(xì)節(jié)。而我們所使用的第三方組件也是通過這些資源找到的。關(guān)于 JWT 的實(shí)現(xiàn) Github 上有很多，我們開始應(yīng)用的時(shí)間也不算很長，目前尚未被安全問題困擾住，所以的確沒什么研究，也沒什么發(fā)言權(quán)。

另 外補(bǔ)充一下，token 的設(shè)計(jì)思路自然不是我說的那樣，但是不代表具體的實(shí)現(xiàn)不能擴(kuò)展。我們開發(fā)的一款應(yīng)用就擴(kuò)展了像我所說的類似校驗(yàn)（但不是來源域，而是其他東西），這的確不 屬于廣義上 token 的設(shè)計(jì)思路，但也沒有違背它，目前來看工作也是正常的，只不過不涉及到防止偽造請(qǐng)求的安全性，所以不能算作有效的案例。

而根據(jù)我提到的文章及討論，貌似想要徹底安全也是幾乎不太可能（目前）的，又或者需要采用多種機(jī)制來協(xié)同才能達(dá)到更高的防范要求。遺憾的是我們所做的項(xiàng)目還沒有這么高的需求，有機(jī)會(huì)的話還真想親自實(shí)踐一把。

感謝兄臺(tái)那么晚了還回復(fù)在下... 我們的這個(gè)辯論就暫時(shí)告一段落? 我本是嵌入式工程師, 也是前不久關(guān)注了一些網(wǎng)絡(luò)安全方面的東西, 所以見解也很有限, 我最近也會(huì)再多了解一些這方面的內(nèi)容, 有新見解也會(huì)繼續(xù)在這里回復(fù)下. 望以后能繼續(xù)與兄臺(tái)交流 :)

@nightire JSON Web Token 這個(gè)解決方案就是你說的這個(gè)吧，感覺挺不錯(cuò)的，不知道您有試過沒？

沒錯(cuò)，JWT 就是我說的基于 Token 的認(rèn)證。我當(dāng)然用過，事實(shí)上最好用 JWT，因?yàn)樗菢?biāo)準(zhǔn)，有各種語言現(xiàn)成的庫來處理。