219. 單頁應用 會話管理(session、cookie、jwt)
原文連接: https://github.com/ly525/blog...
關鍵字:http-only, cookie,sessionid, vue-router, react-router, 安全,localStorage, jwt前端
需求描述
- 內部管理平臺,須要用戶登陸以後才能訪問。如今將 該平臺地址(www.xxx.com/home) 直接發給新來的運營同窗
- 前端須要檢測該用戶是否已登陸,若是未登陸,則將其 redirect 到登陸頁面
- 由於該頁面爲單頁應用,路由跳轉不涉及後端的 302 跳轉,使用前端路由跳轉
實現思路
實現代碼vue
// 以 vue-router 爲例
// 登陸中間驗證,頁面須要登陸而沒有登陸的狀況直接跳轉登陸
router.beforeEach((to, from, next) => {
const hasToken = document.cookie.includes('sessionid');
// 若是採用 jwt,則一樣 hasToken = localStorage.jwt
const pathNeedAuth = to.matched.some(record => record.meta.requiresAuth);
// 用戶本地沒有後端返回的 cookie 數據 && 前往的頁面須要權限
//
if (pathNeedAuth && !hasToken ) {
next({
path: '/login',
query: { redirect: to.fullPath },
});
} else if (hasToken && to.name === 'login') {
// 已登陸 && 前往登陸頁面, 則不被容許,會重定向到首頁
next({
path: '/',
});
} else {
next();
}
});
-
應該在進入任何頁面以前,判斷:react
- 該頁面是否須要權限才能訪問:登陸、註冊頁面不須要權限
-
用戶是否已經登陸:本地 cookie (或者 localStorage)包含 session 相關信息git
Cookie: csrftoken=YaHb...; sessionid=v40ld3x....
-
若是
A頁面須要權限且本地 cookie中包含了 sessionid 字段,則容許訪問A頁面,不然跳轉到登陸頁面github- 備註:sessionid 該字段由用戶在登陸以後,由後端框架經過
response.setCookie寫入前端 ,所以該字段須要和後端同窗確認 - 須要後端同窗在 response header 中配置cookie中該字段的 http-only屬性,容許前端讀取 cookie。不然前端經過 document.cookie 讀取到的 cookie 將不包含 sessionid 字段
- 這個時候,可能會存在 js 讀取cookie 致使不安全的狀況,後端同窗能夠把 cookie 中的某個字段設置爲 容許讀取,其餘 cookie 設置不容許讀取,這樣即便被第三方不安全腳本獲取,也沒法產生負面影響。
- 備註:sessionid 該字段由用戶在登陸以後,由後端框架經過
- 若是
用戶已登陸&& 在瀏覽器中輸入了登陸頁地址,則將其重定向到首頁
更多說明
- 這樣作,前端就沒必要再向後端發起 API 作權限鑑定了(後端返回401,前端跳轉到 401),減小沒必要要的API 請求,特別是若是在API響應時間過長的狀況下,體驗不太友好。
-
用戶修改 cookie,僞造 sessionidvue-router
- 這樣的話,前端就無能爲力了,前端鑑權此時認爲該用戶合法。此時訪問首頁,將會調用獲取數據的API。
- 瀏覽器會將
用戶僞造的 sessionid帶給後端,這時候就須要後端對 sessionid 進行較驗了。好比校驗前端帶來的 sessionid 與數據庫中的 sessionid 是否一致 - 用戶僞造的數據 sessionid 和 後端數據庫中 sessionid 的機率 很是很是低,能夠忽略不計,由於 sessionid 的位數通常在 32 位以上,由於裏面包含了字母和數字,也就由 32 ^ 36 種可能
- 結論:僞造沒有意義,即便用戶能夠看到頁面的樣子,可是看不到數據
-
採用 localStorage 而不是 sessionStorage 的緣由(SessionStorage 失效場景)數據庫
緣由:sessionStorage 沒法跨 Tab 共享
- 用戶在新打開一個 Tab,輸入已經登陸以後的某個頁面
- 經過
target="_blank"來打開新頁面的時候,會致使會話失效 - 在當前頁面執行
Duplicate(複製 Tab),sessionStorage 失效
相關文章
- 1. 219. 單頁應用 會話管理(session、cookie、jwt)
- 2. 會話管理(cookie和session)
- 3. 會話管理:Cookie-Session
- 4. 會話管理:cookie和session
- 5. 快速瞭解會話管理三劍客cookie、session和JWT
- 6. java的會話管理:Cookie和Session
- 7. 會話管理:Cookie與Session技術
- 8. Cookie和Session會話管理基礎
- 9. 會話管理(Cookie/Session技術)
- 10. 會話、cookie、session
- 更多相關文章...
- • Maven Web 應用 - Maven教程
- • Eclipse 任務管理 - Eclipse 教程
- • TiDB 在摩拜單車在線數據業務的應用和實踐
- • 使用阿里雲OSS+CDN部署前端頁面與加速靜態資源
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
最新文章
- 1. CVPR 2020 論文大盤點-光流篇
- 2. Photoshop教程_ps中怎麼載入圖案?PS圖案如何導入?
- 3. org.pentaho.di.core.exception.KettleDatabaseException:Error occurred while trying to connect to the
- 4. SonarQube Scanner execution execution Error --- Failed to upload report - 500: An error has occurred
- 5. idea 導入源碼包
- 6. python學習 day2——基礎學習
- 7. 3D將是頁遊市場新賽道?
- 8. osg--交互
- 9. OSG-交互
- 10. Idea、spring boot 圖片(pgn顯示、jpg不顯示)解決方案
歡迎關注本站公眾號,獲取更多信息
