• 会话管理


    会话token:表示客户端请求的有效性的一串字符串
    会话标识:由服务端或者应用程序产生标识会话唯一性的一串字符串
    会话cookie:服务器将一串少量的数量保存在计算机的内存上的一种技术,关闭浏览器就会被删除
    持久cookie:服务器将少量数据保存在客户的计算机硬盘上的一种技术,超过有效期就会被删除
    url重放:将会话标识放在url中,是会话维持的技术之一
    心跳报文:服务器校验客户端会话是否存在,会话信息是否失效销毁的一种机制

    认证前会话
    账号是否与角色、IP、时间等绑定
    系统是否支持一个用户同时建立多个会话
    会话生成
    防止会话劫持:
    会话标识不可以在url中
    会话使用统一名称,避免暴露组件无关信息
    会话标识的随机性,
    会话标识的长度不少于24字节或者192bit
    会话标识大小写敏感
    cookie的重要性:
    会话标识设置httponly(防止js获取cookie)
    会话标识设置secure(只有在https协议才传输会话,http请求不传输会话)
    会话标识设置path
    会话标识设置Domain(在本域下可以获取cookie)
    会话标识SameSite(防止跨站点攻击)
    CSRF_TOKEN使用安全随机数算法生成,长度不少于24字节或者192bit
    限制同一用户的有效会话个数
    系统是否使用web容器的会话生成机制生成会话,如果不是,测试随机数的种子是否随机且长度不少于24字节
    会话维持
    认证之后会话标识要更新
    二次认证之后,建议会话标识更新
    会话标识与会话token一起验证会话的有效性
    会话标识不能记录在日志中
    建议管理员可以通过界面或者命令行的形式查看当前有效会话,并且可以终止别人的会话
    对会话保存的文件设置访问控制,属主和当前用户拥有读写执行权限,数组只有读,执行权限。如果是在表中保存的话,需要对表做访问控制。
    会话失效
    页面有明显退出会话功能,退出会话之后,服务端清除会话标识
    系统设置闲时超时会话失效,

  • 相关阅读:
    sw
    ++1
    test
    为了
    发送邮件
    新建121212
    29012
    pthread_create/join函数
    recv函数学习
    socketpair用法学习
  • 原文地址:https://www.cnblogs.com/yddyy/p/16014679.html
Copyright © 2020-2023  润新知