单点登录Cookie可以伪造吗
来源:8-2 Nginx_Tomcat_Redis环境启动及验证
Bill好想
2018-05-04
老师,请问我们当前实现的单点登录是安全的吗?如果第三方伪造一个跟我一样的Cookie(token、域名、url都相同),向服务器请求,那岂不是也免登录了?如果是不安全的,请问有什么解决方案呀?谢谢老师~
写回答
2回答
-
你好,同学,我们现在使用的是httponly,理论上是伪造不了的。只有真正的response才能改变cookie。另外一个点是,实际生产环境都会启用https来保证安全。另外还有一个方案,我们实际会产生多余的和token一样的另外一个passtoken,这个是通过一定算法算出。服务端会做二次校验。如果想非常非常安全,https那是必须的,这个方案。还有请求和响应加解密~~
132018-05-15 -
about_blank
2018-05-06
token 这块应该有设计加密算法的
一般都是 通过 md5服务器端这块校验
然后前后端 或者C S 通过RSA 公钥私钥进行安全的身份校验
设计支付或者其他安全领域 可能还要有https 的证书保证的
具体更深入的服务器安全维护 一般公司都有专门的安全部门来保证的
10
相似问题