我目前在为 ChatBot 创建 iFrame 时遇到问题。
情况如下。用户 A 想要将我的 ChatBot 嵌入到他的网站www.websiteUserA.com上。当用户 A 访问 myapp.com 并使用 Google Auth 安全登录时,我的后端会识别他。
现在的问题是,访问www.websiteUserA.com的用户 A 的客户也需要被识别为用户 A 的客户。为此,我想到引入一个 jwt,我可以使用以下设置声明我可以稍后在提出请求时进行检查和验证。
现在的问题是,如果我以任何形式向前端公开令牌。任何人(“黑客”)都可以识别为“用户 A 的客户”,理论上可以在自己的网站上使用 ChatBot,同时让用户 A 负责所有使用。
遗憾的是,在任何情况下都不可能允许如此简单的冒充。
为了解决这个问题,我考虑引入用户A可以设置的允许域。因此,www.websiteUserA.com应该是唯一允许向我发送该 jwt 令牌的域。遗憾的是,请求推荐很容易被欺骗。
另一个解决方案是可能只与用户 A 的后端通信。用户 A 将从我这里收到一个 API 密钥,负责管理和重新发行这些 JWT 令牌。这将确保令牌永远不会到达前端。然而,由于可用于托管和管理www.websiteUserA.com 的架构不同,该设置可能非常不直观,更不用说增加用户 A 后端服务器上处理所有这些请求的负载了。
我还想到了最后一个解决方案。也就是在 Flask 会话中包含 jwt 令牌(我的 webAPP 使用 Flask)。Flask 会话通过以下参数进行保护:
app = Flask(__name__)
csrf = CSRFProtect(app)
app.config['SECRET_KEY'] = SECRET_KEY
app.config['PERMANENT_SESSION_LIFETIME'] = timedelta(minutes=30)
app.config['SESSION_COOKIE_SECURE'] = True
app.config['SESSION_COOKIE_HTTPONLY'] = True
app.config['SESSION_COOKIE_SAMESITE'] = 'None'
目标是让提取 jwt 令牌变得“更难”。这应该不是不可能的,但这些参数将有助于保护令牌免受 JavaScript 和 XSS 攻击。
你能帮我么?我不知道应该如何保护我的应用程序,因为无论我选择什么方法,我仍然发现自己很容易受到攻击。有人可以推荐我更好的方法吗?大型科技公司如何做到这一点?我想谷歌、Facebook 或任何其他大公司都会很容易地解决这个问题。
我只是想提供尽可能安全的服务:D。
不存在 100% 的事情。例如,如果您的用户正在咖啡馆浏览并去洗手间,则攻击者可能会冒充该用户。因此,完美的防御是不存在的,我们需要对我们提出的任何解决方案持保留态度。
首先是:HTTPS。这样,出于安全考虑,您的请求将使用加密。因此,如果 JWT 是 POST 参数或 HTTPS 下的不记名令牌,那么您将获得一定程度的安全性。
接下来,您可以将其设为一次性令牌,而不是在每个请求时发送 JWT,也就是说,您将拥有一份尚未过期但已使用的 JWT 黑名单。这样,如果您的用户使用当时有效的 JWT 进行身份验证,那么通过使用该 JWT,JWT 将变得无效,并且如果攻击者甚至设法窃取它,它将不再有用。
当然,您将拥有一个实际的会话 ID,而不是 JWT,它将用作会话标识符,并且 JWT 将仅用于身份验证。
这种方法将使攻击者很难窃取 JWT,并且即使他/她设法这样做,也不会获得任何奖励,因为当他/她使用它时,JWT 已经无效了。
JWT 通常包含一个到期日期,因此当有效的 JWT 用完时,您可以将其列入黑名单,并使用 cron 作业定期从黑名单 JWT 中删除过期的 JWT,以避免堆积太多有用的数据。
因为,如果你的 JWT 的寿命是四个小时,而你现在用完它,你的 JWT 被列入黑名单,所以没有人会重复使用它,那么 4 小时后,它就可以从黑名单中删除,因为到那时,它根本就无趣了JWT 已经用完了,因为它已经过期了。