kisso 3.8.1 发布新增 SameSite 防跨站 CSRF 攻击

栏目: 软件资讯 · 发布时间: 3年前

内容简介：kisso = cookie sso 基于 Cookie 的 SSO 中间件，它是一把快速开发 java Web 登录系统（SSO）的瑞士军刀。欢迎大家使用 kisso !! 前后分离可选：请求 Header 票据模式, 请求 Cookie 模式常见安全策略 Secure 标记...

Google 开发者在线课程首发！中文免费在线资源助你提升开发技能>>>>> kisso 3.8.1 发布新增 SameSite 防跨站 CSRF 攻击

kisso = cookie sso

基于 Cookie 的 SSO 中间件，它是一把快速开发 java Web 登录系统（SSO）的瑞士军刀。欢迎大家使用 kisso !!

前后分离可选：请求 Header 票据模式, 请求 Cookie 模式

常见安全策略

Secure

标记为 Secure 的 Cookie 只应通过被HTTPS协议加密过的请求发送给服务端。使用 HTTPS 安全协议，可以保护 Cookie 在浏览器和 Web 服务器间的传输过程中不被窃取和篡改。

HTTPOnly

设置 HTTPOnly 属性可以防止客户端脚本通过 document.cookie 等方式访问 Cookie，有助于避免 XSS 攻击。

SameSite

SameSite 也是这篇博客的主体，首先我们来看看这个参数的作用。
SameSite 属性可以让 Cookie 在跨站请求时不会被发送，从而可以阻止跨站请求伪造攻击（CSRF）。至于什么是CSRF这里就不具体说了。
SameSite 可以有下面三种值：
1、Strict仅允许一方请求携带 Cookie，即浏览器将只发送相同站点请求的 Cookie，即当前网页 URL 与请求目标 URL 完全一致。
2、Lax允许部分第三方请求携带 Cookie
3、None无论是否跨站都会发送 Cookie
造成现在无法获取cookie是因为之前默认是 None 的，Chrome80 后默认是 Lax

kisso 3.8.1 发布新增 SameSite 防跨站 CSRF 攻击

KISSO 安全配置

kisso:
  config:
    # 开启 https 有效，传输更安全
    cookie-secure: true
    # 防止 XSS 防止脚本攻击
    cookie-http-only: true
    # 防止 CSRF 跨站攻击
    cookie-same-site: Lax
    # 加密算法 RSA
    sign-algorithm: RS512
    ...

使用文档

// 生成 jwt 票据，访问请求头设置‘ accessToken=票据内容 ’ 适合前后分离模式单点登录
String jwtToken = SSOToken.create().setId(1).setIssuer("admin").setOrigin(TokenOrigin.HTML5).getToken();

// 解析票据
SSOToken ssoToken = SSOToken.parser(jwtToken);

// Cookie 模式设置
SSOHelper.setCookie(request, response,  new SSOToken().setId(String.valueOf(1)).setIssuer("admin"));

// 登录权限拦截器类 SSOSpringInterceptor
// 注解不拦截 @LoginIgnore
// yml 配置 kisso.config....

Spring Boot

@ControllerAdvice
@Configuration
public class WebConfig extends WebServiceConfigurer {

    @Override
    public void addInterceptors(InterceptorRegistry registry) {
        // SSO 授权拦截器
        SSOSpringInterceptor ssoInterceptor = new SSOSpringInterceptor();
        ssoInterceptor.setHandlerInterceptor(new LoginHandlerInterceptor());
        registry.addInterceptor(ssoInterceptor).addPathPatterns("/**").excludePathPatterns("/v1/sso/**");
    }
}

切换 RS512 算法

1，配置算法 kisso.config.sign-algorithm = RS512
2，配置私钥公钥证书，默认放置 resources 目录即可

// RSA 密钥，配置参数 kisso.config.rsa-jks-store
// 其它参数 CN=Server,OU=Unit,O=Organization,L=City,S=State,C=US
// RSA 生成 jks 密钥
$ keytool -genkeypair -alias jwtkey -keyalg RSA -dname "CN=llt" -keypass keypassword -keystore key.jks -storepass jkspassword

// RSA 生成证书
// RSA 公钥，配置参数 kisso.config.rsa-cert-store
$ keytool -export -alias jwtkey -file public.cert -keystore key.jks -storepass jksp

以上所述就是小编给大家介绍的《kisso 3.8.1 发布新增 SameSite 防跨站 CSRF 攻击》，希望对大家有所帮助，如果大家有任何疑问请给我留言，小编会及时回复大家的。在此也非常感谢大家对码农网的支持！

查看所有标签

猜你喜欢:

本站部分资源来源于网络，本站转载出于传递更多信息之目的，版权归原作者或者来源机构所有，如转载稿涉及版权问题，请联系我们。

码农书籍

Adobe Dreamweaver CS5中文版经典教程

Adobe公司 / 陈宗斌 / 人民邮电 / 2011-1 / 45.00元

《Adobe Dreamweaver CS5中文版经典教程》由Adobe公司的专家编写，是AdobeDreamweavelCS5软件的官方指定培训教材。全书共分为17课，每一课先介绍重要的知识点，然后借助具体的示例进行讲解，步骤详细、重点明确，手把手教你如何进行实际操作。全书是一个有机的整体，它涵盖了Dreamweavercs5的基础知识、HTML基础、CSS基础、创建页面布局、使用层叠样式表、使......一起来看看《Adobe Dreamweaver CS5中文版经典教程》这本书的介绍吧!

码农工具

kisso 3.8.1 发布新增 SameSite 防跨站 CSRF 攻击

kisso = cookie sso

基于 Cookie 的 SSO 中间件，它是一把快速开发 java Web 登录系统（SSO）的瑞士军刀。欢迎大家使用 kisso !!

常见安全策略

Secure

HTTPOnly

SameSite

KISSO 安全配置

使用文档

切换 RS512 算法

Adobe Dreamweaver CS5中文版经典教程

随机密码生成器

URL 编码/解码

XML、JSON 在线转换