HTTP 协议是无状态的

  • 在web中使用cookie+session的技术来保持用户登陆的状态
  • 移动端使用token来保持用户登陆状态由于token在网络中传输,很容易被 中间人获取,进而模拟用户进行其他相关操作

解决办法:

  • 服务器端

响应头增加随机字符串 CSRF_TOKEN=xxxxxxxxxxx(每次请求都不同)

  • 客户端
  1. 客户端和服务端 保留密钥 secret = yyyyyyyyy
  2. 客户端获取响应头CSRF_TOKEN下次请求必须携带
  3. 客户端 (secret+提交内容) 进行签名

当用户提交信息到服务器端,首先验证签名数据是否被篡改,随后通过token+随机字符串比对,正确的话执行操作,刷新随机字符串,即使token被中间人获取到了,没有随机字符串依旧执行不了任何操作,再糟糕点中间人通过拦截响应头获取到了随机字符串,但是密钥还没泄露,没有办法进行签名依旧执行不了操作

缺点:
以上解决办法只适用于APP端,浏览器端不适用,因为没地方保存密钥

总结:

所以能上 HTTPS 就用 HTTPS 吧!