【发布时间】:2016-03-13 17:23:06
【问题描述】:
我正在创建一个关系博客,我在其中使用ember_simple_auth:session 来存储会话
{"authenticated":{"authenticator":"authenticator:devise","token":"rh2f9iy7EjJXESAM5koQ","email":"user@example.com","userId":1}}
但是,在 Chrome 上(也可能在其他浏览器上)的开发人员工具上,编辑电子邮件和 userId 以便在页面重新加载时冒充其他用户非常容易。
编辑#1
从与 Joachim 和 Nikolaj 的对话中,我现在意识到解决此问题的最佳方法是在每次需要时(仅在页面重新加载时)探查 localStorage 的真实性,而不是试图阻止编辑。
为了验证真实性,我创建了一个必须在 AccountSession 可以使用之前解决的承诺。承诺 serverValidation() 请求使用当前的 localStorage 信息创建一个令牌模型,当服务器获取它时,它会验证该信息并使用简单的用户序列化响应 200,如果该信息的类型为令牌是合法的。您可以在Source Code 上查看更多信息。
会话帐户
import Ember from 'ember';
const { inject: { service }, RSVP } = Ember;
export default Ember.Service.extend ({
session: service('session'),
store: service(),
serverValidation: false,
// Create a Promise to handle a server request that validates the current LocalStorage
// If valid, then set SessionAccount User.
loadCurrentUser() {
if (!Ember.isEmpty(this.get('session.data.authenticated.userId'))) {
this.serverValidation().then(() => {
return new RSVP.Promise((resolve, reject) => {
const userId = this.get('session.data.authenticated.userId');
// Get User to Session-Account Block
if(this.get('serverValidation') === true) {
return this.get('store').find('user', userId).then((user) => {
this.set('user', user);
resolve();
}).catch((reason) => {
console.log(reason.errors);
var possible404 = reason.errors.filterBy('status','404');
var possible500 = reason.errors.filterBy('status','500');
if(possible404.length !== 0) {
alert('404 | Sign In Not Found Error');
this.get('session').invalidate();
}
else if(possible500.length !== 0) {
alert('500 | Sign In Server Error');
this.get('session').invalidate();
}
reject();
});
}
else{
alert('Session for Server Validation failed! Logging out!');
this.get('session').invalidate();
resolve();
}
});
});
} else {
// Session is empty...
}
},
serverValidation() {
return new RSVP.Promise((resolve) => {
var tokenAuthentication = this.get('store').createRecord('token', {
id: this.get('session.data.authenticated.userId'),
email: this.get('session.data.authenticated.email'),
authenticity_token: this.get('session.data.authenticated.token'),
});
tokenAuthentication.save().then(() => {
this.set('serverValidation',true);
console.log('Server Validation complete with 200');
resolve();
}).catch((reason) => {
this.set('serverValidation',false);
resolve();
});
});
}
});
令牌控制器
# Users Controller: JSON response through Active Model Serializers
class Api::V1::TokensController < ApiController
respond_to :json
def create
if token_by_id == token_by_token
if token_by_email == token_by_id
render json: token_by_id, serializer: TokenSerializer, status: 200
else
render json: {}, status: 404
end
else
render json: {}, status: 404
end
end
private
def token_by_id
User.find(user_params[:id])
end
def token_by_email
User.find_by(email: user_params[:email])
end
def token_by_token
User.find_by(authentication_token: user_params[:authenticity_token])
end
def user_params
ActiveModelSerializers::Deserialization.jsonapi_parse!(params.to_unsafe_h)
end
end
【问题讨论】:
-
也许将值的安全校验和添加到令牌中,以便您可以验证没有任何变化?
-
听起来很合理,但您知道我将如何密切关注本地存储吗?或者我每次从那里检索信息时都会做一个校验和?据我了解,这需要对 Ember-Simple-Auth 进行相当多的更改,这会影响维护。