如何防止使用被盗令牌进行 Rest Web 服务身份验证

经过各种方法的挣扎，我们找到了一个解决方案，解释如下：

1. 我们在登录请求时将令牌（加密）存储在cookie中，对于每个后续请求，该cookie都会得到验证
2. 问题是如果有人用另一个有效的令牌替换cookie中的令牌，因为cookie由客户端浏览器维护

解决方案：-

所以为了解决这个问题，我们添加了另一个cookie，它是多个值的组合。

例如

饼干1-

饼干 2 -

因此，在Cookie 1的情况下，很容易用另一个加密值替换，因为尽管它是加密的，但它只代表一个令牌。

但是在 Cookie 2 的情况下，它包含具有多个值的对象，因此只能在同一 cookie 中修改、加密和设置令牌值。

在身份验证之前，我们正在解密整个cookie 2，从中获取令牌部分，并根据cookie 1验证令牌部分。

这解决了我们的问题！!

感谢您的时间和指导。

我目前对浏览器中授权请求的“最安全”方法的理解是，需要同时验证HttpOnly SameSite cookie和HTTP标头（例如Authorization或X-CSRF-Token）。

例如，向浏览器发出 JWT 时，在 HttpOnly SameSite cookie 中发送 JWT 签名，并将正文（无签名）发送到客户端以存储在 localStorage 中并在授权标头中提交。授权请求时，将两者合并回完整的 JWT 中，然后照常验证。

或者，您可以生成两个带有字段的 JWT 来区分它们（例如，客户端中有“浏览器”，cookie 有“cookie”），并要求两者都有效并且都标识同一用户。一个在授权标头中发送并存储在localStorage中，另一个使用SameSite HttpOnly cookie。

另一种流行的html" target="_blank">方法是将 CSRF 令牌存储在 JWT 的字段中，并将 JWT 放入 cookie 中，并要求客户端在标头中发送匹配的令牌（例如 X-CSRF-Token）。

所有解决方案都有效地防止了XSS和CSRF攻击：XSS无法检索HttpOnly cookie，CSRF不包含HTTP标头，因此可以阻止这两种攻击。

请注意，您可能只想将此规则应用于来自 Web 浏览器的请求。对于服务器到服务器的通信，请求不受 CSRF 和 XSS 攻击。

我不相信有任何100%傻瓜证明的方法来防止使用被盗的用户令牌进行访问。你怎么知道令牌一开始就被盗了？但在我的脑海中，您可能需要考虑以下内容：

1. 使用相同的令牌但使用不同的用户代理访问REST服务是可疑的。这可以通过用户代理标头的值来识别。您可能需要考虑放弃此类请求
2. 如果IP地址发生了变化，但令牌仍然相同，该怎么办？嗯，也许有人在使用负载平衡器，并通过不同的IP地址访问网络？或者他使用与之前相同的令牌/cookie访问VPN？如果您不后悔放弃这样的请求，您可以通过检查源IP地址来提高安全性
3. 如果是JWT代币，您需要一些基础设施来处理黑名单。遵循此步骤