使用 Tomcat 和 Apache 进行 CRSF 令牌和会话复制

Question

我有一个符合 J2EE 的 Web 应用程序。我使用基于会话的令牌将辅助 ID 附加到我的应用程序生成的所有传入链接。为了防止我的应用程序受到 CSRF 攻击，我在允许用户会话在后续页面上工作之前验证辅助 ID。

最近，在使用会话复制机制实现时，我观察到在会话故障转移时，生成的辅助 ID 会丢失，并且用户会被重新定向到登录页面/默认页面。

关于如何确保我生成的辅助令牌 id 不会从复制会话中丢失，有什么建议吗？

Answer 1

表示令牌的对象应该实现 java.io.Serialized 以便在会话要作为二进制流（通过网络、磁盘文件系统等）存储/读取/传输时继续存在在会话复制和故障转移机制中。

这通常已经在相关机制的文档中明确提及。我建议再次阅读它，以确保您涵盖了使复制/故障转移完美运行的所有内容。

以下是有关该主题的 Tomcat 6.0 文档 的摘录，来自集群基础知识一章：

要在您的
Tomcat 6.0容器，如下
应完成的步骤：

• 所有会话属性都必须实现 java.io.Serialized
• ...

Answer 2

简单的辅助令牌只能提供有限的针对 CSRF 攻击的保护。对于我们自己的框架 (pulse)，我们决定通过在 URI 上生成自定义哈希代码来对每个 URL 进行签名：然后用会话存储的秘密（开箱即用的可序列化的 Long）加盐，然后用 SHA-256 进行消化。
这样，当秘密添加到 URI 时就不会暴露。整个过程很容易通过注释（@RequireToken）控制