V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
xiaoyanbot
V2EX  ›  信息安全

csrf 的随机 csrf token 默认是保存在 session 中, 如果改为分布式环境下, 只能将这一值保存在 redis 中吗?还有别的办法吗?

  •  
  •   xiaoyanbot · 52 天前 · 1200 次点击
    这是一个创建于 52 天前的主题,其中的信息可能已经有所发展或是发生改变。
    9 条回复    2021-10-15 09:33:31 +08:00
    Peter2Zhu
        1
    Peter2Zhu  
       52 天前
    加密存在表单里
    Xusually
        2
    Xusually  
       52 天前
    这个看你的 token 生成和验证方式

    如果是普通的随机生成的,那么在分布式环境中只能存在 redis 、memcache 等大家都可以读写验证的地方。
    如果是有算法的,比如服务端有 key 的可逆加密的,可以解出来有效信息,并且有效信息比如过期时间,用户 id 什么可供单点验证的,那倒也可以不存?


    楼主你的顾虑是?
    ragnaroks
        3
    ragnaroks  
       52 天前
    有别的办法,但存在 memcache/redis 这里就是低成本最优解决办法了
    GTim
        4
    GTim  
       52 天前
    使用 sha256 等算法,把密钥写死在代码里,然后生成 token = `sha256(密钥+时间戳)`, 下发下去给客户端的 csrf_token 值为 `token . 时间戳`,也就是把时间戳带下去给客户端。
    chendy
        5
    chendy  
       52 天前
    用分布式的 session 不用单机 session ( java 这边可以 spring-session )就完事了。。。
    phithon
        6
    phithon  
       51 天前
    csrf 的 token 可以保存在 cookie 里。可以看下这篇文章:<https://www.leavesongs.com/PENETRATION/think-about-cookie-form-csrf-protected.html>
    clcx
        7
    clcx  
       51 天前 via iPhone
    JWT
    lululau
        8
    lululau  
       51 天前
    1. 和 Rails 一样,直接把 session 加密放到 Cookie 里
    2. 单把 CSRF Token 放到 Cookie 里
    xiaoyanbot
        9
    xiaoyanbot  
    OP
       49 天前
    @Xusually

    有道理,对的
    关于   ·   帮助文档   ·   API   ·   FAQ   ·   我们的愿景   ·   广告投放   ·   感谢   ·   实用小工具   ·   1056 人在线   最高记录 5497   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 22ms · UTC 20:16 · PVG 04:16 · LAX 12:16 · JFK 15:16
    ♥ Do have faith in what you're doing.