个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
24
4
我想向我的个人express.js 应用程序添加重置/忘记密码功能。我决定以类似的方式实现它 Django做到了。
基本上,它根据用户生成唯一的 token (ID、散列密码、电子邮件、上次登录时间和当前时间,所有这些都与唯一的密码和盐混合)。然后,用户在他的“重置密码链接”中收到该 token 。有人比我解释得更好 one of stackoverflow answers .
这是source code of Django PasswordResetTokenGenerator class
我将在底部发布我的 javascript 实现。如果您检查它是否存在可能的缺陷,那就太好了,但这不是我的主要问题:)
因此,用户会收到带有“重置密码链接”的电子邮件。链接如下 https://example.com/reset-password/MQ/58ix7l-35858854f74c35d0c64a5a17bd127f71cd3ad1da ,其中:
MQ是 base64 编码的用户 ID(本例中为 1)58ix7l是base36编码的时间戳35858...是实际的 token 用户点击链接。服务器接收 GET 请求 -> 服务器检查具有该 id 的用户是否存在 -> 然后服务器检查 token 的正确性。如果一切正常,服务器将向用户发送带有“设置新密码”表单的 html 响应。
到目前为止,一切都几乎与 django 的做法完全相同(很少有细微的差别)。但现在我想做一些不同的事情。Django(收到 GET 请求后)建立匿名 session ,在 session 中存储 token ,并重定向(302)以重置密码表单。客户端没有任何token的迹象。用户填写表单,使用新密码将 POST 请求发送到服务器。服务器再次检查 token (存储在 session 中)。如果一切正常 - 密码已更改。
出于某种原因(这会让我的应用程序变得更加复杂:)),我不想添加匿名 session ,我不想在 session 中存储 token 。
我只想从 req.params 获取 token -> 转义它 -> 检查它是否有效 -> 并以表单发送给用户,如下所示:
<form action="/reset-password" method="POST">
<label for="new-password">New password</label><input id="new-password" type="password" name="new-password" />
<label for="repeat-new-password">Repeat new password</label><input id="repeat-new-password" type="password" name="repeat-new-password" />
<input name="token" type="hidden" value="58ix7l-35858854f74c35d0c64a5a17bd127f71cd3ad1da">
<input type="submit" value="Set new password" />
</form>
用户发送表单,服务器再次检查 token ,然后更改密码。
所以在文字墙之后,我的问题是:
像这样以 html 形式存储 token 安全吗?
我能想到一种可能的威胁:邪恶的用户可以向某人发送带有 <script>alert('boo!')</script> 的链接。而不是 token 。但如果 token 之前经过验证并转义的话应该没有问题。还有其他可能的漏洞吗?
正如我之前所说,我发布了我的 generateToken , checkToken javascript 实现,以防万一...
generate-change-password-token.js
const { differenceInSeconds } = require('date-fns');
const makeTokenWithTimestamp = require('../crypto/make-token-with-timestamp');
function generateChangePasswordToken(user) {
const timestamp = differenceInSeconds(new Date(), new Date(2010, 1, 1));
const token = makeTokenWithTimestamp(user, timestamp);
return token;
}
module.exports = generateChangePasswordToken;
verify-change-password-token.js
const crypto = require('crypto');
const { differenceInSeconds } = require('date-fns');
const makeTokenWithTimestamp = require('../crypto/make-token-with-timestamp');
function verifyChangePasswordToken(user, token) {
const timestamp = parseInt(token.split('-')[0], 36);
const difference = differenceInSeconds(new Date(), new Date(2010, 1, 1)) - timestamp;
if (difference > 60 * 60 * 24) {
return false;
}
const newToken = makeTokenWithTimestamp(user, timestamp);
const valid = crypto.timingSafeEqual(Buffer.from(token), Buffer.from(newToken));
if (valid === true) {
return true;
}
return false;
}
module.exports = verifyChangePasswordToken;
make-token-with-timestamp.js
const crypto = require('crypto');
function saltedHmac(keySalt, value, secret) {
const hash = crypto.createHash('sha1').update(keySalt + secret).digest('hex');
const hmac = crypto.createHmac('sha1', hash).update(value).digest('hex');
return hmac;
}
function makeHashValue(user, timestamp) {
const { last_login: lastLogin, id, password } = user;
const loginTimestamp = lastLogin ? lastLogin.getTime() : '';
return String(id) + password + String(loginTimestamp) + String(timestamp);
}
function makeTokenWithTimestamp(user, timestamp) {
const timestamp36 = timestamp.toString(36);
const hashValue = makeHashValue(user, timestamp);
const keySalt = process.env.KEY_SALT;
const secret = process.env.SECRET_KEY;
if (!(keySalt && secret)) {
throw new Error('You need to set KEY_SALT and SECRET_KEY in env variables');
}
const hashString = saltedHmac(keySalt, hashValue, secret);
return `${timestamp36}-${hashString}`;
}
module.exports = makeTokenWithTimestamp;
谢谢
最佳答案
从安全 Angular 来看,将重置 token 存储在 URL(get 变量)或表单(作为 post 变量)中并没有太大区别。在这两种情况下,任何有权访问该 URL 的人都将有权重置密码。
正如您所提到的,您需要提防 XSS 攻击(将 JavaScript 嵌入到 token 中,然后显示在页面中),并且验证 token 是否只是字母数字应该可以解决该特定问题。您还需要提防 CORS 风格的攻击,大多数框架都可以为您处理。
对我来说,另外两件事需要考虑 -
token 会在合理的时间内过期,因为它基本上是一个密码,可用于接管帐户。
在任何密码请求后都会发送通知,这样,如果用户没有故意重置自己的密码,他们就会知道该事件。
关于javascript - 以 html post 形式存储重置密码 token 是否安全?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/60217576/
24
4
0
我有一个“设置首选项”屏幕。它有一个 ListPreference 和一个 CheckBoxPreference。当我选择 ListPreference 的一项时,我想更改应用程序的日期格式。另外,通
我试图找到创 build 置/配置窗口的示例。单击菜单项中的“选项”操作可启动设置窗口。我想弄清楚如何从主窗口打开第二个窗口。以及新窗口如何将设置信息返回主窗口。尝试使用 QDialog 或一些继承的
我在 Lnux 上有 Qt 应用程序。我想为此创建一个可执行文件/设置以便在 Windows 上分发它并且不需要安装 Qt。我通过包含所有 dll 为此创建了可执行文件但要运行它,用户需要进入文件夹。
我正在尝试创建一个有点动态的 html 类,它根据类末尾包含的数字设置宽度 %。注意:类名将始终以“gallery-item-”开头 示例:div.gallery-item-20 = 20% 宽度 我
关闭。这个问题需要更多focused .它目前不接受答案。 想改进这个问题吗? 更新问题,使其只关注一个问题 editing this post . 关闭 6 年前。 Improve this qu
在我的应用程序中,我想记住一些变量,例如,如果用户登录过一次,那么他们将在下次重新打开应用程序时登录,或者如果他们决定禁用某些提醒,应用程序可以检查该变量是否是错误的,将不再显示该提醒。理想情况下,这
我在 Netbeans 中开发了一个应用程序,它连接到远程计算机的消息队列并发送消息。该应用程序还有其他功能。项目完成后,我清理并构建应用程序,然后 Netbeans 创建一个 jar 文件。 但我的
我创建了一个 Outlook 加载项,需要创建一个设置以使其可分发(我是新手,所以请原谅新手评论) Outlook -2010 Vs -2010 .Net 4.0 我读了一些地方,最简单的方法就是发
这个问题已经有答案了: 已关闭10 年前。 Possible Duplicate: How to make installer pack of Java swing Application Proje
这个问题肯定已经被很多人解决过很多次了,但是经过几个小时的研究,我仍然没有找到我要找的东西。 我有一个 ExportSettings.settings 文件,其中包含一堆设置( bool 值、字符串、
我想为我的项目创建一个安装程序,以便它可以安装在任何电脑上而无需安装头文件。我怎样才能做到这一点? 最佳答案 一般有两种分发程序的方法: 源代码分发(要构建的源代码)。最常见的方法是使用 GNU au
如何在这样的动态壁纸中创 build 置 Activity ? Example Picture 我只用一个简单的文本构建了设置 Activity ,但遇到了一些问题。第一个问题是我不能为此 Activ
我用 GUI 创建了一个简单的软件。它有几个源文件。我可以在我的编辑器中运行该项目。我认为它已经为 1.0 版本做好了准备。但我不知道如何为我的软件创 build 置/安装程序。 源代码是python
我的 SettingsActivity当前扩展了 Android Studio 生成的类,AppCompatPreferenceActivity扩展 PreferenceActivity . Acti
我正在使用 .NET 为 IE 开发工具栏。目前,我使用 gacutil 插入我的 .NET 程序集,并使用 regasm 注册我的 COM 程序集。 我想为项目创建一个设置 (MSI),但我似乎无法
在为设置页面创建 Activity 后,我注意到 if (mCurrentValue !== value) 中的 mCurrentValue !== value 返回警告: Identity equa
我在 Visual Studio 10 中创建了一个项目,该项目使用 Mysql 数据库和 Crystalreports 以及 它。但是我不知道如何进行自动安装 Mysql 和 Crystalrepo
我正在尝试在我的 C# 项目中使用 Sqlite 数据库,并且我在 IDE 中做得很好。我的问题是当我为我的项目制作安装包并安装它时,程序无法访问 sqlite 数据库。我也知道这是因为用户没有访问文
我有一个大型 Web 应用程序(带有 11 子系统的 ErP),我想使用 Microsoft WebPI 为它创建一个设置。 目前,我们每周向客户发送一次应用程序(用于每周更新)。 我们在此应用程序中
所以我对工资单申请的最终查询是 - 如何为薪资申请创 build 置? 我需要知道的一切- 如何将设置项目添加到我现有的解决方案 如何将解决方案中的文件添加到安装项目中,以及添加哪些文件添加和在什么文
我是一名优秀的程序员,十分优秀!