Wie lange ist der Frühling temporäre CSRF-token Ablauf der Zeit?

Ich aktivierter CSRF-mit spring security und es funktioniert wie erwartet.

Ich lese Frühling offizielle Dokumentation über CSRF-Angriffe
http://docs.spring.io/spring-security/site/docs/3.2.7.RELEASE/reference/htmlsingle/#csrf

Ich auch dieses tutorial Lesen, über CSRF-Angriffe mit Spring und AngularJS
http://www.codesandnotes.be/2015/07/24/angularjs-web-apps-for-spring-based-rest-services-security-the-server-side-part-2-csrf/

Was Spring Security tut, ist, dass es einen nichtständigen Sitzung für
dass. Also im Grunde geht es so:

  1. Fordert der client ein token mit einem OPTIONS-Anfrage.
  2. Der server erstellt eine temporäre Sitzung, speichert das token und sendet wieder eine JSESSIONID-und das token an den client.
  3. Der client sendet die Anmeldeinformationen, dass JSESSIONID und CSRF-token.
  4. Gleicht der server die CSRF gespeichert, die für die empfangenen JSESSIONID und, wenn alles grün markiert, wird eine neue endgültige JSESSIONID und eine neue session-CSRF-token für den client zum überprüfen Ihrer Anfragen, nach dem login.

Wie ich verstanden habe, wenn Sie nicht eingeloggt sind, können Sie Ihre erste CSRF-token durch das senden einer OPTIONS-Anfrage auf eine API-Endpunkt, z.B. /api/login

Frühjahr wird dann eine CSRF-token gebunden an eine temporäre session (temporäre CSRF und JSESSIONID-cookies)

So, wenn ich bitten das CSRF-token als ein paar Minuten warten und schließlich versuchen einzuloggen, das CSRF-token haben kann expîred und ich habe zu Fragen, eine andere.

Ich konnte nicht herausfinden, wie die Konfiguration der temporären Spring session Ablaufzeit, und ich konnte Sie nicht finden, was war Ihre genaue Dauer.

Wer hat Informationen darüber ?

InformationsquelleAutor singe3 | 2016-02-17
  1. 4

    erstellt eine neue definitive JSESSIONID und eine neue session-CSRF-token

    dies ist ein session fixation Strategie.

    gibt es mindestens 2 Strategien für CSRFToken generation.

    1. pro Sitzung
    2. pro Anfrage

    Standard-Verhalten sollte per session. Es bedeutet, dass, solange die session wäre alive einzige CSRFToken würde gebunden werden, um es (dies kann aber geändert werden).
    nach der erfolgreichen Authentifizierung, da der session fixation, eine neue session angelegt werden mit neuen CSRFToken.

    So, wenn ich bitten das CSRF-token als ein paar Minuten warten und endlich versuchen
    für den login, das CSRF-token haben kann expîred und ich werde Fragen haben
    ein weiteres

    dies ist falsch. es würde bleiben, solange die Sitzung aktiv sein möchte.

    Konnte ich nicht finden, wie die Konfiguration des temporären Spring session
    Ablauf der Zeit, und ich konnte Sie nicht finden, was war seine genaue Standard
    Dauer

    temporary session heißt temporary würde, denn es würde gültig sein, bis die Authentifizierung und wäre durch eine neue ersetzt. Aber der gleiche timeout-policy angewendet wird, um Sie als für common Sitzung. Sie können konfigurieren session-timeout im web.xml mit session-config. der Standardwert von Tomcat ist 30 Minuten.

    • Danke, aber es scheint, dass Sie falsch sind, weil ich so konfiguriert haben, dass die Sitzung für die letzten 24 Stunden (1440 min in web.xml). Wenn ich mich authentifiziert, es effektiv dauert 24 Stunden, so ist es fein. Allerdings, wenn ich mich nicht authentifiziert wird, wird die Sitzung nur ein paar Minuten dauert, also muss es etwas anderes sein, vielleicht ein hardcorded timeout für nicht authentifizierte Sitzungen.
    • Ich habe ein paar Fragen: 1) haben Sie alles getan, um die spring config? 2) wie JSESSIONID und CSRFToken sind von einem server zurückgegeben wird (wie ein cookie, was ist exp-Zeit) und/oder Resonanz-Körper)?
    • Nein, ich kann das auch nicht ändern Frühling default-config über csrf-token. Ich habe mein problem gelöst in dem front-end durch einen OPTIONS-request auf die login-Endpunkt kurz vor der Anmeldung POST, um ein neues token. Mein token an den client gesendet wird, wie eine benutzerdefinierte Kopfzeile, weil Es cross-domain, so dass ich nicht Lesen kann ein cookie von Javascript.
    InformationsquelleAutor hahn
Schreibe einen Kommentar