许多
深圳网站制作在处理用户访问的下一项逻辑任务是管理通过验证的会话。成功登陆应用程序后,用户会访问各种页面与功能,从浏览器提出一系列HTTP请求。与此同时,应用程序还会收到各类用户发出无数请求。
为实施有效的访问控制,应用程序需要识别并处理每一名用户提交的各种请求。当用户收到一个令牌时,浏览器会在随后的HTTP请求中将它返回给服务器,帮助应用程序将请求与该用户联系起来。为满足这些要求,几乎所有的
深圳网站设计公司Web应用程序都为每一位用户建立一个会话,并向用户发布一个标识会话的令牌。会话本身是一组保存在服务器上的数据结构,用于追踪用户与应用程序的交互状态。
令牌是一个唯一的字符串,应用程序将其映射到会话中,虽然许多应用程序使用的隐藏表单字段(hidden form field)或URL查询字符串(query string)传送会话令牌(session token),但HTTP cookie才是实现这一目的的常规方法。如果用户在一段时间内没有发出请求,会话将会自动终止。
如果令牌别攻击,攻击者就会刻意伪装成被攻击的用户,像已经通过验证的用户一样使用应用程序,就攻击面而言,会话管理机制的有效基本上取决于其令牌的安全性,绝大多数针对它的攻击都企图攻破其他用户的令牌。
少数应用程序不向用户发布会话令牌,而是通过其他方法在多个请求中重复确认用户身份。令牌在生成的过程中存在的缺陷是主要的漏洞来源,使攻击者能够推测出发布给其他用户的令牌,随后,攻击者再利用令牌中的缺陷截获其他用户的令牌。在其他情况下,应用程序会将状态信息保存在客户端而非服务器上,通常还需要对这些信息进行加密,以防遭到破坏。