标签归档登录

人人都能看懂的全栈开发教程——会话和 Cookie

Chris Yue No Comments

在单元测试那一章节,我们要求用户仓库类需要提供方法来检查用户是否已经存在,但我们的 UserRepository 类还没有实现它,我们先把这个方法加出来,并且做一些改造:

使用 Symfony Guard 做用户登录

Chris Yue 6 comments

其实 Symfony Guard 已经发布很久了,很早就想写一篇相关的教程,趁最近一个项目有用到它,正好可以作为一个实例,跟大家展示一下 Guard 的用法。

登录表单是否需要 CSRF 保护?

Chris Yue 2 comments

2020-02-18 补充:在说『登录 CSRF』之前先说说『CSRF(Cross Site Request Forgery)』,即跨站请求伪造。举一个真实发生过的例子,攻击者先在自己网站上创建一个页面,这个页面有一个表单,表单的提交路径却是新浪微博发新微博的地址,并且这个页面有 JS 可以让页面加载完毕的时候就自动提交表单的内容。攻击者再想各种办法,骗新浪微博某些大 V 去点击这个页面的链接,受害大 V 只要在新浪微博是登录状态,表单的内容就会成功被发送。如果攻击者的页面通过 iframe 等方式隐藏页面,大 V 们可能『被动』发了微博都没有任何感知。防守也不难,页面显示表单时,给台设备分配不同的随机码,而处理表单提交的时候,需要验证随机码是否一致。而随机码跟设备是绑定的,攻击者不可能猜的出来受害者的设备的随机码是什么,从而防止了 CSRF 攻击。而这个随机码,就叫 CSRF Token。

2020年四月
« 2月  
 12345
6789101112
13141516171819
20212223242526
27282930