HTTP 协议是无状态的
- 在web中使用cookie+session的技术来保持用户登陆的状态
- 移动端使用token来保持用户登陆状态由于token在网络中传输,很容易被 中间人获取,进而模拟用户进行其他相关操作
解决办法:
- 服务器端
响应头增加随机字符串 CSRF_TOKEN=xxxxxxxxxxx(每次请求都不同)
- 客户端
- 客户端和服务端 保留密钥 secret = yyyyyyyyy
- 客户端获取响应头CSRF_TOKEN下次请求必须携带
- 客户端 (secret+提交内容) 进行签名
当用户提交信息到服务器端,首先验证签名数据是否被篡改,随后通过token+随机字符串比对,正确的话执行操作,刷新随机字符串,即使token被中间人获取到了,没有随机字符串依旧执行不了任何操作,再糟糕点中间人通过拦截响应头获取到了随机字符串,但是密钥还没泄露,没有办法进行签名依旧执行不了操作
缺点:
以上解决办法只适用于APP端,浏览器端不适用,因为没地方保存密钥
总结:
所以能上 HTTPS 就用 HTTPS 吧!