thinking in programming

网络安全

什么是认证和授权？如何设计一个权限认证框架？

认证：就是对系统访问者的身份进行确认（用户名密码登录、二维码登录、指纹、刷脸...）。

授权：就是对系统访问者的行为进行控制，授权通常是在认证之后，对系统内的隐私数据进行保护，后台接口访问权限，前台控件的访问权限。

通常情况下我们通过RBAC模型，也就是用户关联角色，而角色访问不同的资源，从而控制用户访问系统的行为。

认证和授权也是对一个权限认证框架进行评估的两个主要的方面。

Cookie和Session有什么区别？如果没有Cookie、Seesion还能进行身份验证吗？

当服务器tomcat第一次接收到客户端的请求时，会开辟一块独立的session空间，建立一个session对象，同时会生成session id，通过响应头的方式保存到客户端浏览器的cookie当中，以后客户端的每次请求，都会在请求头部带上这个session id，这样就可以对应上服务端的一些会话信息，比如用户的登录状态。

如果没有客户端的cookie，session是无法进行身份验证的。

当服务端从单体应用升级为分布式之后，cookie + session要如何扩展？

session黏贴，在负载均衡中，通过某种机制，保证同一个客户端的所有请求都会转发到同一个tomcat实例当中。当这个tomcat实例出现问题之后，请求就会被转发到其他实例，这时候用户的session用户信息就丢失了。
session复制：当一个tomcat实例上保存了session信息后，主动将session复制到集群中的其他实例。问题：复制是需要时间的，在复制的过程中，容器产生session信息丢失。
session共享，就是将服务端的session信息保存到一个第三方中，比如Redis

什么是CSRF攻击？如何防止？

CSRF：Cross Site Request Forgery 跨站请求伪造。

一个正常的请求会将合法用户的session id保存到浏览器的cookie，这时候，如果用户在浏览器中打开另一个Tab页，那这个tab页也是可以获得浏览器的cookie，黑客就可以利用这个cookie信息进行攻击

攻击过程：

某银行网站A可以以GET请求的方式发起转账操作。www.xxx.com/transfor.do?accountNum=100&money=1000 accountNum表示目标账户，这个请求肯定是需要登录才可以正常访问的，
攻击者在某个论坛或者网站上上传一个图片，链接地址是 www.xxx.com/transfor.do?accountNum=100&money=1000，其中accountNum就是攻击者自己的银行账户。
如果有一个用户，登录了银行网站，然后又打开浏览器的另一个Tab页，点击了这个图片，这时，银行就会受理到一个带了正确的cookie的请求，就会完成转账，用户的钱就被盗了。

防止CSRF的方式：

尽量使用POST请求，限制GET请求，POST请求可以带请求体，攻击者就不容易伪造出请求。
将cookie设置为HttpOnly：response.setHeader("Set-Cookie","cookiename=cookievalue;HttpOnly")。
增加token：在请求中放入一个攻击者无法伪造的信息，并且该信息不存在于cookie当中。
增加一个额外的隐藏信息<input type='hidden' value='demo'>这也是Spring Security框架中采用的防范方式。