生成后的token不放在header，直接post過去安全嗎？

實(shí)際上這是 HTTP 規(guī)范的要求。

只要通過http就有可能被截取就不安全，你可以考慮使用js在發(fā)送請求時(shí)在客戶端使用加密算法計(jì)算出動態(tài)的token，不過這樣只是增加了破解的復(fù)雜程度，偽造token依然是可能的

用 SSL……

有道理。。。

文章很詳細(xì)~ 收益了~

好文

無意中看到這篇文章， 寫得真不錯(cuò)。 唯一一點(diǎn)不太敢茍同， “CSRF Free——不依賴 Cookie，完全不擔(dān)心跨域偽造請求攻擊”， 我的意思是，就算是 token, 獲取到之后也是可以偽造請求的阿

跨域是不行的吧？你可以拿到我的 token，但是我會對 token 的來源加以校驗(yàn)，如果是來自于信任的域也就不用擔(dān)心“偽造”了吧。當(dāng)然我不是安全領(lǐng)域的專家，答案里也是參考過去學(xué)到的資料，如有疏漏還請指正細(xì)節(jié)。多謝。

關(guān) 鍵就是你怎么能對來源加以校驗(yàn)?zāi)? 試想一下你的 app 有 10W 用戶, 分布在全國各地, 對服務(wù)器來說，每一個(gè)過來的 token 和服務(wù)器都不是一個(gè)域的. 這個(gè)沒法校驗(yàn)的. 而通常說的跨域安全問題, 是瀏覽器端的安全策略, 是為了防止諸如 XSS 跨站腳本在竊取了用戶信息之后將這些信息傳回給自己的服務(wù)器. 瀏覽器限定瀏覽某個(gè)網(wǎng)站時(shí)所加載的腳本, 后續(xù)也只能夠從同一個(gè)網(wǎng)站請求或提交資源 (比如通過 Ajax 等手段)

對， 你說的是有沒錯(cuò)。我個(gè)人是這么來考慮的：用戶是通過登錄請求來獲得后續(xù)的訪問 token 的，那么在處理登錄請求的時(shí)候除了驗(yàn)證有效性之外自然也可以記錄本次登錄的來源域，那么此后附加了該 token 的請求自然也是同域的視為安全（服務(wù)端可以記住登錄請求的來源域用以后續(xù)檢查）。竊取 token 之后的訪問若是來自于不同的域，則可以視為偽造請求。當(dāng)然跨域安全是如你所說，主要指的是瀏覽器端的安全策略，由于我不是安全方面的專家，故此我能想到的 驗(yàn)證方式大概就是以上所述。

在實(shí)際的應(yīng)用中我和我所在的團(tuán)隊(duì)都是直接使用了第三方的驗(yàn)證組件來處理 token 的事情，比如基于 JWT 的實(shí)現(xiàn)等等。然而很抱歉的是我對這些組件的實(shí)現(xiàn)細(xì)節(jié)還沒有機(jī)會仔細(xì)去研究，也不知道是不是如我所想這樣來處理這方面的安全問題。你的回復(fù)倒是給我提了一個(gè) 醒，有必要去深究一下實(shí)現(xiàn)的細(xì)節(jié)，看看在這方面有沒有漏洞吧。

至于答案處列出的那幾條，坦白說我也是摘抄自一些文章或文檔，由于都是個(gè)人筆記留下的記錄，現(xiàn)在也想不起來具體的出處。如果確認(rèn) token 對跨域偽造請求無能為力的話，我也會改正它。也請諸位知曉者提供可靠的佐證。

我 覺得你第一段所說的說應(yīng)該是你剛剛想出來的... 實(shí)際上 access_token/token 的設(shè)計(jì)思路不是這樣的, 它并沒有被設(shè)計(jì)成能夠記錄用戶的狀態(tài), 啊, 我們這里的主題是 RESTful API, 要知道, HTTP 是無狀態(tài)的. 你可以查一下業(yè)內(nèi)的哪些各種服務(wù)提供商它們的 api 里的 access_token 的設(shè)計(jì)思路, 包括 OAuth2 的設(shè)計(jì)思路. 不會是用 token 來記錄請求來源的.

而且, 就算這么做, 這種方式也是有問題的, 試想我今天在上海登錄了你的 app, 明天我去北京了, 難道我就得被強(qiáng)制下線重新登陸嗎? 當(dāng)然有很多服務(wù)會判斷出你某次不在常用登錄地點(diǎn)登錄, 會強(qiáng)制讓你重新登陸. 但那是 IP 層面安全機(jī)制, 不是 HTTP 的了.

你們團(tuán)隊(duì)使用的第三方驗(yàn)證組件應(yīng)該就是類似于 Google OpenID 或者提供 OAuth2.0 服務(wù)那種吧? 我基本可以肯定的是它們也不會把請求來源作為安全驗(yàn)證項(xiàng)的.

我也不是什么安全從業(yè)者, 也沒有什么全面的見解, 希望沒有誤導(dǎo)別人 :)

1. 是的，那是剛才匆匆想的，因?yàn)榇饲安]有研究過安全性的問題，所以只是個(gè)人一時(shí)的思路，見笑了。

2. 不是 OpenID 或 OAuth 1/2，而是 JWT，詳細(xì)內(nèi)容可以看這里（以及下面的討論，內(nèi)容很廣泛，信息量也挺大，我是留存準(zhǔn)備有時(shí)間去研究的）https://news./item?id=7137498

這些問題我現(xiàn)在無法準(zhǔn)確翔實(shí)的回答你，不過上面的文章和討論或許會給我們帶來新的知識和見解。我粗略的閱讀過它們，覺得還有很多底層的知識有待學(xué)習(xí) 才能搞清楚安全方面的細(xì)節(jié)。而我們所使用的第三方組件也是通過這些資源找到的。關(guān)于 JWT 的實(shí)現(xiàn) Github 上有很多，我們開始應(yīng)用的時(shí)間也不算很長，目前尚未被安全問題困擾住，所以的確沒什么研究，也沒什么發(fā)言權(quán)。

另 外補(bǔ)充一下，token 的設(shè)計(jì)思路自然不是我說的那樣，但是不代表具體的實(shí)現(xiàn)不能擴(kuò)展。我們開發(fā)的一款應(yīng)用就擴(kuò)展了像我所說的類似校驗(yàn)（但不是來源域，而是其他東西），這的確不 屬于廣義上 token 的設(shè)計(jì)思路，但也沒有違背它，目前來看工作也是正常的，只不過不涉及到防止偽造請求的安全性，所以不能算作有效的案例。

而根據(jù)我提到的文章及討論，貌似想要徹底安全也是幾乎不太可能（目前）的，又或者需要采用多種機(jī)制來協(xié)同才能達(dá)到更高的防范要求。遺憾的是我們所做的項(xiàng)目還沒有這么高的需求，有機(jī)會的話還真想親自實(shí)踐一把。

感謝兄臺那么晚了還回復(fù)在下... 我們的這個(gè)辯論就暫時(shí)告一段落? 我本是嵌入式工程師, 也是前不久關(guān)注了一些網(wǎng)絡(luò)安全方面的東西, 所以見解也很有限, 我最近也會再多了解一些這方面的內(nèi)容, 有新見解也會繼續(xù)在這里回復(fù)下. 望以后能繼續(xù)與兄臺交流 :)

@nightire JSON Web Token 這個(gè)解決方案就是你說的這個(gè)吧，感覺挺不錯(cuò)的，不知道您有試過沒？

沒錯(cuò)，JWT 就是我說的基于 Token 的認(rèn)證。我當(dāng)然用過，事實(shí)上最好用 JWT，因?yàn)樗菢?biāo)準(zhǔn)，有各種語言現(xiàn)成的庫來處理。