有个网站,需要校验是否有权限,判断头部的 token 参数。
但是,直接在浏览器上输入网址后,能否自动头部添加 token 呢?
是不是只有 session+cookie 的方式了。
1
lambdaq 2021-06-24 15:25:11 +08:00
再发明一个浏览器插件就可以实现了。。。
|
2
FaiChou 2021-06-24 15:26:06 +08:00
|
3
gefranks 2021-06-24 15:27:50 +08:00
类似 ModHeader 这样的浏览器插件或者代理,用代理往请求里面塞 header
|
4
IvanLi127 2021-06-24 15:36:08 +08:00 2
你没见过尾巴有个 ?token=xxxx 之类的 url 嘛?
|
5
kop1989 2021-06-24 15:37:16 +08:00
没太懂。
1 、手动输入网址?那这个 token 哪来的? 2 、如果是 token 预先就知道,直接写在 url 里传参不就 ok 了? |
6
wanguorui123 2021-06-24 15:41:50 +08:00
header 、URL
|
7
malaohu 2021-06-24 16:00:23 +08:00
整一个中间页 处理一下?
|
8
balabalaguguji OP @kop1989 #5 token 在 localstorage 里面,如果是 post,就可以拦截请求,然后插入一个 token 到头部了,但是 get 就没办法了
|
9
balabalaguguji OP @IvanLi127 #4 这样会泄漏自己的 token,复制链接给别人就知道 token 了
|
10
Yourshell 2021-06-24 17:36:54 +08:00
直接用 HTTP 验证不好吗
|
11
darknoll 2021-06-24 17:43:28 +08:00
直接在地址栏里面输入的话只有作为查询参数带过去了,没有其他方法了
|
12
RangerWolf 2021-06-24 17:43:39 +08:00
GET 请求也可以带有 header 啊。。。
|
13
RangerWolf 2021-06-24 17:44:05 +08:00
请忽视我刚才的发言。。。 没看清题目
|
14
balabalaguguji OP @Yourshell #10 能具体说一下吗?
|
15
yitingbai 2021-06-24 17:51:06 +08:00
有这样的浏览器插件, 可以加 header, 还可以改变 UA
|
17
KisekiRemi 2021-06-24 18:00:13 +08:00
axios 的请求拦截器把 token 塞进去
|
18
THESDZ 2021-06-24 18:00:18 +08:00
类似 S3 的签名可以吗?
就如果需要访问某一个地址,根据这个地址生成一个有时效的签名? |
19
KisekiRemi 2021-06-24 18:01:23 +08:00
抱歉没注意看详细需求
|
20
TomVista 2021-06-24 18:18:24 +08:00
token 存进 cookies
|
21
yeqizhang 2021-06-24 18:28:32 +08:00 via Android
这标题取的,你这种情况和 get post 没关系啊,只是浏览器地址栏只能 get,是接口就放尾巴上,不过打开一个接口这是什么需求??如果打开网页,还可以将这个网页放行,里边的接口再用 js 加上吧
|
22
balabalaguguji OP @yeqizhang #21 是服务端渲染页面,第一次 get 请求时就需要知道是否有权限访问,没 token 就没法判断
|
23
yeqizhang 2021-06-24 18:33:43 +08:00 via Android
@balabalaguguji 那只能加尾巴或者 cookie 了
|
24
balabalaguguji OP @malaohu #7 嗯,整个中间页应该是可以的
|
25
balabalaguguji OP @yitingbai #15 面对所有用户的网页,不能依赖插件
|
26
balabalaguguji OP @Yourshell #16 这个方式好像是弹出系统的登录框?怎么设置 token 到头部还是没看懂
|
27
iceheart 2021-06-24 18:50:37 +08:00 via Android
cookie 被设计出来就是干这个的
|
28
baobao1270 2021-06-24 21:51:07 +08:00
jwt?
|
29
hjiang 2021-06-24 23:13:30 +08:00
在古代,cookie 还没有被发明的时候,程序员就是在 URL 后面加上 sid=xxxxxxxxx 这样的方式记录登录状态的。
当然,这样是安全性极差的。 |
30
dangyuluo 2021-06-25 00:27:22 +08:00
GET 请求也是可以有 body 的,不过默认浏览器不会用。你写个浏览器就可以了。。
|
31
xiadong1994 2021-06-25 01:57:59 +08:00 1
你倒是说为啥不用 session+cookie 啊
|
32
nvkou 2021-06-25 02:44:37 +08:00 via Android
等等…就算是服务器渲染也可以加脚本吧。现在还有不用 xhr 的网站?
|
33
ThomasTrainset 2021-06-25 07:58:49 +08:00 via iPhone
让用户装插件不现实,我觉得你可以把 token 拆成几部分,混淆到 url 里,取的时候按照一定规则取就好了,有需要的话,再将这种 token 失效时间搞的短一点。
|
34
ladypxy 2021-06-25 08:04:35 +08:00
URL 里加参数啊
|
35
liuidetmks 2021-06-25 08:42:18 +08:00
我也很烦在 head 里面设置 token 的接口,
每次出问题,想调试起来非常不方便。 但是后端大佬定的,没得法 |
36
Quarter 2021-06-25 08:56:03 +08:00 via iPhone
感觉这种自动添加的浏览器打开 URL 的好像只有 cookie 的方式,cookie 会每次请求自动添加到 header,其他的好像都需要处理
|
37
LiuJiang 2021-06-25 08:57:58 +08:00
@balabalaguguji 不能做加密操作?
|
38
Quarter 2021-06-25 09:03:08 +08:00 via iPhone
然后至于 token 的放在 URL 里面被窃取,我觉得有两种方式
一种,加上 token 和 IP 绑定,这样如果 token 被窃取,但是网络环境不一样可以防御一些,但是无法防御在同一公网出口的情况 另一种就是 vue 的方式,加载统一入口,然后通过 ajax 获取动态路由或者其他的路由方法鉴别权限,这样不用拦截前端界面,由前端自行判断拦截,后端主要做接口拦截,前端在统一做接口处理,如果未授权就跳转无权限界面,如果未登录跳转登录界面 |
39
JKeita 2021-06-25 09:12:09 +08:00
我们公司有个后台就是需要在浏览器插件里面添加 header,应该是一个样。
|
40
balabalaguguji OP @xiadong1994 #31 因为网站一早就是用的 token 现在某些页面改为服务端渲染才遇到这个问题,另外 token 更好做负载均衡等
|
41
liyunyang 2021-06-25 09:20:02 +08:00
连接后面加 jwt 认证,token 加密在里面
|
42
balabalaguguji OP @liyunyang #41 没看清题目哦,不能放链接后面,不管有没加密。
|
43
Felldeadbird 2021-06-25 09:21:25 +08:00
我一般丢 URL 。简单粗暴,确保 SSL 环境即可。时效一般不长。如果要提高安全性,就结合唯一指纹,时间,拆分伪装。
|
44
balabalaguguji OP @Felldeadbird #43 如果已经登录过了,第二天用户输入 url 后还要自己输入自己的 token,多不现实。
|
45
dbpe 2021-06-25 09:26:23 +08:00
@balabalaguguji session 是基于 cookie 的..早期一些移动设备不支持 cookie 的,那么 tooken 就诞生了...
PS:没登录不应该是提示没权限么..怎么就白屏了.. |
46
falcon05 2021-06-25 09:32:31 +08:00 via iPhone
用不用 token 跟用不用 cookie 是两码事,token 可以存放在 cookie,也可以存放在 local storage 。
|
47
lusi1990 2021-06-25 09:36:11 +08:00
听大家的 先搞懂 cookie , session, token 的概念
|
48
balabalaguguji OP @lusi1990 #47 你先读懂题目
|
49
xwayway 2021-06-25 09:46:57 +08:00
你的 url 是直接走的接口?不是的话,应该是前端页面吧,到了你页面,你在页面内 js 去处理就行了啊。虽然不太熟悉现在 vue 什么的的逻辑。但是写过老式的 jq 那套,可以在页面 load 的时候,去读取 localstorage,判断有没有 token 啊。拿到了 token 再去请求后端接口。没有去登录页面,难道不都是这么做的?
|
50
balabalaguguji OP @xwayway #49 是服务端渲染的页面,所以第一步是到了服务端,得判断是否有权限然后才决定是否渲染数据。
|
51
pkoukk 2021-06-25 09:53:33 +08:00
token 为啥不能放进链接里?放哪儿不都会泄露?我们理解的 token 是用户输入自己的秘钥之后,服务端返回的有时效性的一个 Id.
如果你要限制 token 的使用范围,不希望复制就会泄露,那很简单啊,服务端对 token 做管理,ip mac 限定这个 token 必须和申请时相同就行。 |
52
cloverzrg2 2021-06-25 09:58:47 +08:00
业务场景是啥,你这可能是 XY 问题
|
53
balabalaguguji OP @pkoukk #51 复制页面地址给别人后,是不是 token 就泄露了,地址是可以方便复制分享的。
|
54
NillSpake 2021-06-25 10:04:57 +08:00
服务器点对点访问,代理一波,nginx 开放访问,通过 lua 或者手动修改 header 请求头,追加参数
|
55
Anshi 2021-06-25 10:07:08 +08:00
这是要获取页面的那个 get 请求也能携带身份信息吧,这个请求一般是浏览器自己发出的吧,不用 cookie 还真不知道有啥办法。。。
|
56
balabalaguguji OP @NillSpake #54 没了解过,但是这样你怎么拿到 token,特别是用过了几天后再来访问,localstorage 里面是还有 token 的,nginx 里面你怎么拿到
|
57
balabalaguguji OP @Anshi #55 直接输入地址要在头部带东西,似乎只有 cookie 了。不然就做中间页做判断。
|
58
SmiteChow 2021-06-25 10:12:42 +08:00
Basic Auth
|
59
passerbytiny 2021-06-25 10:16:06 +08:00 via Android
你最好补充一个说明,目前不知道你的问题是哪一种。是通过地址栏输入 URL 第一次访问的时候 Header 中没有 Token,还是因为服务器端渲染每个 GET 请求都没 TOKEN 。
|
60
balabalaguguji OP @passerbytiny #59 已经补充了,看上面 append 。已经登录过了,后面手动输入地址在浏览器访问时如何自动设置 token 到头部。
|
61
Rheinmetal 2021-06-25 10:25:13 +08:00
需求的核心逻辑不清楚 没法给可用方案
|
62
Felldeadbird 2021-06-25 10:30:27 +08:00
@balabalaguguji 肯定不用用户手动输入了。以小程序为例,我是放在 local storage 。里面有时效和设备信息。然后和小程序官网的设备信息校验。
在鉴权方面,根据接口的情况,选用 GET OR POST 形式把 TOKEN 从 local storage 带过去。一般来说,会封装好一个请求方法,里面自带鉴权 TOKEN 提交。 |
63
feifeichen 2021-06-25 10:40:31 +08:00
浏览器里域名对应的储存不就是 cookie 和 storage 数据库,但是只有 cookie 是浏览器自动添加的,你不想用 cookie 。用户浏览器输入的域名又不会走脚本,不就只有访问到的这个地址去进行操作。判断跳转中间页那个实现方法比较现实点
|
64
NillSpake 2021-06-25 10:41:16 +08:00
@balabalaguguji 中间件,redis 等等。。,你可以后台操作 token 时效
|
65
jsq2627 2021-06-25 10:42:13 +08:00
有一说一,拦截 get 请求、附加 header 用 service worker 能实现
只是这需求,放着 cookie 不用干嘛 |
66
xwayway 2021-06-25 10:45:32 +08:00
@balabalaguguji 非要这么搞的话,我觉得可以用 cookie 了,后端加个兼容逻辑就行了,header 取不到 token,再取 cookie 中的嘛,都没有才走认证逻辑
|
67
xwayway 2021-06-25 10:47:29 +08:00
@balabalaguguji 也不一定是后端做,在 nginx 做就行了,如果 header 中没有 token,从 cookie 中取出来,放 header 里面就行了
|
68
passerbytiny 2021-06-25 10:48:51 +08:00 via Android
@balabalaguguji 你的真实问题是不是:GET 时,怎么将 localstorage 中保存的 Token,带到 Header 上。
地址栏输入地址的 GET,跟代码调起来的 GET,大概也就这一点区别。而且这问题不只发生在地址栏访问上,点击超链接的跳转同样会发生该问题。 |
70
ysc3839 2021-06-25 10:52:38 +08:00 via Android
把 token 放在 cookie 里不行吗?一样是在 header 里面传给后端。
|
71
no1xsyzy 2021-06-25 10:58:27 +08:00 2
一个 SPA 改 SSR ?
服务器在浏览器上存数据,就是 cookies localstorage idb 三剑客,后面两个只能 js 访问 没权限就白屏,还 SEO,那搜索引擎的 spider 哪来的权限呢? 你就当没权限的渲染,然后渐进地提供需要 token 的部分啊? |
72
uselessVisitor 2021-06-25 11:15:45 +08:00
套一个 iframe 行吗
|
73
zhaol 2021-06-25 11:16:03 +08:00
@no1xsyzy #71 按他这么说,就必须一开始就有 token,不然这网页没得玩。我实在没理解他的需求。难道本不应该就存在没权限情况下的判断嘛,按那个逻辑继续处理不就行了?
|
74
balabalaguguji OP @zhaol #73 没登录过就直接跳转到登录页面了,这个没什么争论所以不讨论。只讨论已登录情况
|
75
balabalaguguji OP @falcon05 #46 之前是放在 localstorage 里的,嗯,我应该把它改为放在 cookie 就可以了。
|
76
balabalaguguji OP @xwayway #66 嗯,cookie 中多存一份 token,这种方式感觉挺好。不过还有个问题,我分享项目时用的是分享 token 每个项目都会有一个,如果也用 cookie 来存储这些分享 token,打开很多个项目的分享页面后 token 就会很多了。
|
77
balabalaguguji OP @ysc3839 #70 嗯,你点醒了我,我之前一直想着 cookie 是配合 session 用的,用来存储 session id 的,怎么就没想到可以存 token 呢(哭)
|
78
no1xsyzy 2021-06-25 11:59:37 +08:00
@balabalaguguji #74 根据附言 2,你不是在做 SEO 吗?
可是搜索引擎的 spider 访问你,你直接跳转登录界面了,那不是白瞎?也就是说实际情况,如果我猜的没错的话,是「部分页面需要权限,则跳转登录页,部分页面公开访问,需要做 SEO 」 那我还是推荐一下渐进式体验。 #76 你可以把所有的项目分二级域名或者子目录,cookies token 存到对应下面。 |
79
pluvet 2021-06-25 12:14:08 +08:00
用 url 传也可以,但是 token 做成动态的,类似 2fa
|
80
balabalaguguji OP @no1xsyzy #78 是的,部分页面是完全公开不需要授权的
|