菜单

yii2的csrf验证原理分析与token缓存解决方案

2018年11月17日 - Php

本文主要分三只有,首先简单介绍csrf,接着对照源码重点解析一下yii框架的说明原理,最后对页面缓存导致的token被缓存提出同样种有效的方案。涉及的知识点会作为附录附于文末。

前言

规划一个缓存系统,不得不要考虑的题材不怕是:缓存穿透、缓存击穿与失效时之雪崩效应。

1.CSRF描述

缓存穿透

缓存穿透是因查询一个毫无疑问非有的数量,由于缓存是不命中时被动写的,并且由容错考虑,如果起存储层查不顶数量虽然无写副缓存,这将促成这个不设有的数据每次要都如到囤层去询问,失去了缓存的意思。在流量大时,可能DB就吊掉了,要是有人利用非在的key频繁攻击我们的运用,这就是漏洞。

CSRF全称为“Cross-Site Request
Forgery”,是在用户合法的SESSION内发起的抨击。黑客通过以网页遭到置Web恶意请求代码,并引诱受害人访问该页面,当页面被看后,请求于被害人不知情的场面下为被害人的法定身份发起,并尽黑客所期的动作。以下HTML代码提供了一个“删除产品”的机能:

釜底抽薪方案

来酷多种方可以有效地化解缓存穿透问题,最广的则是用布隆过滤器,将持有可能是的数额哈希到一个够好之bitmap中,一个早晚不存的多寡会受
这个bitmap拦截掉,从而避免了针对根存储系统的询问压力。另外也时有发生一个越来越简易粗暴的主意(我们应用的哪怕是这种),如果一个询问返回的多寡为空(不管是累
据不有,还是系统故障),我们仍然将这个拖欠结果开展缓存,但其的过期时会好缺乏,最丰富不越五分钟。

<a href="http://www.shop.com/delProducts.php?id=100" "javascript:return confirm('Are you sure?')">Delete</a>

缓存雪崩

缓存雪崩是借助在我们安缓存时采取了同等的过时,导致缓存在有平时刻以失效,请求全部转速到DB,DB瞬时压力过重雪崩。

只要程序员在后台从未对准该“删除产品”请求做相应的合法性验证,只要用户访问了拖欠链接,相应的产品就是给删除,那么黑客可经过欺骗受害者访问带有以下恶意代码的网页,即可在被害人不知情的景象下删除相应的产品。

缓解方案

缓存失效时之雪崩效应对根系统的撞击大可怕。大多数系统设计者考虑用加锁或者队列的方法确保缓存的单线
程(进程)写,从而避免失效时大量的出现请求落至底层存储系统及。这里分享一个简短方案便不时谈缓存失效时分散开,比如我们好于老的失灵时基础及搭一个无限制值,比如1-5分钟即兴,这样各个一个缓存的逾期时之重复率就见面下降,就非常麻烦吸引公共失效的轩然大波。

2.yii的csrf验证原理
/vendor/yiisoft/yii2/web/Request.php简写吧Request.php

缓存击穿

对部分安装了晚点时的key,如果这些key可能会见以某些时刻点为超高并发地访问,是平种植很“热点”的多寡。这个时段,需要考虑一个题材:缓存被“击穿”的题目,这个与缓存雪崩的分别在于这里对某个平key缓存,前者则是众多key。

缓存在有时间点过期的时段,恰好在这个时间点对这Key有大气之产出请求过来,这些请求发现缓存过期一般都见面从后端DB加载数据并回设到缓存,这个时节怪起的要或会见瞬间把后端DB压垮。

/vendor/yiisoft/yii2/web/Controller.php简写为Controller.php

缓解方案

开启csrf验证

1.采取互斥锁(mutex key)

业界比较常用之做法,是利用mutex。简单地吧,就是以缓存失效的时光(判断用出来的价值为空),不是当时去load
db,而是先使缓存工具的某些带成功操作返回值的操作(比如Redis的SETNX或者Memcache的ADD)去set一个mutex
key,当操作返回成功时,再拓展load
db的操作并回设缓存;否则,就重试整个get缓存的法子。

SETNX,是「SET if Not
eXists」的缩写,也就算是只有不存在的时节才装,可以运用其来落实锁之效果。在redis2.6.1前版本未兑现setnx的过期时,所以这里让有片种植版本代码参考:

//2.6.1前单机版本锁
String get(String key) {  
   String value = redis.get(key);  
   if (value  == null) {  
    if (redis.setnx(key_mutex, "1")) {  
        // 3 min timeout to avoid mutex holder crash  
        redis.expire(key_mutex, 3 * 60)  
        value = db.get(key);  
        redis.set(key, value);  
        redis.delete(key_mutex);  
    } else {  
        //其他线程休息50毫秒后重试  
        Thread.sleep(50);  
        get(key);  
    }  
  }  
}

行版本代码:

public String get(key) {
      String value = redis.get(key);
      if (value == null) { //代表缓存值过期
          //设置3min的超时,防止del操作失败的时候,下次缓存过期一直不能load db
          if (redis.setnx(key_mutex, 1, 3 * 60) == 1) {  //代表设置成功
               value = db.get(key);
                      redis.set(key, value, expire_secs);
                      redis.del(key_mutex);
              } else {  //这个时候代表同时候的其他线程已经load db并回设到缓存了,这时候重试获取缓存值即可
                      sleep(50);
                      get(key);  //重试
              }
          } else {
              return value;      
          }
 }

memcache代码:

if (memcache.get(key) == null) {  
    // 3 min timeout to avoid mutex holder crash  
    if (memcache.add(key_mutex, 3 * 60 * 1000) == true) {  
        value = db.get(key);  
        memcache.set(key, value);  
        memcache.delete(key_mutex);  
    } else {  
        sleep(50);  
        retry();  
    }  
} 

于控制器里用enableCsrfValidation为true,则控制器内享有操作都见面被验证,通常做法是以enableCsrfValidation为false,而将一些敏锐操作设为true,开启局部验证。

2. “提前”使用互斥锁(mutex key):

于value内部设置1个超时值(timeout1), timeout1比其实的memcache
timeout(timeout2)小。当于cache读博到timeout1发现它们都过期时,马上延长timeout1并重复设置及cache。然后重新打数据库加载数据并安装到cache中。伪代码如下:

v = memcache.get(key);  
if (v == null) {  
    if (memcache.add(key_mutex, 3 * 60 * 1000) == true) {  
        value = db.get(key);  
        memcache.set(key, value);  
        memcache.delete(key_mutex);  
    } else {  
        sleep(50);  
        retry();  
    }  
} else {  
    if (v.timeout <= now()) {  
        if (memcache.add(key_mutex, 3 * 60 * 1000) == true) {  
            // extend the timeout for other threads  
            v.timeout += 3 * 60 * 1000;  
            memcache.set(key, v, KEY_TIMEOUT * 2);  

            // load the latest value from db  
            v = db.get(key);  
            v.timeout = KEY_TIMEOUT;  
            memcache.set(key, value, KEY_TIMEOUT * 2);  
            memcache.delete(key_mutex);  
        } else {  
            sleep(50);  
            retry();  
        }  
    }  
} 
public $enableCsrfValidation = false;
/**
 * @param \yii\base\Action $action
 * @return bool
 * @desc: 局部开启csrf验证(重要的表单提交必须加入验证,加入$accessActions即可
 */
public function beforeAction($action){
    $currentAction = $action->id;
    $accessActions = ['vote','like','delete','download'];
    if(in_array($currentAction,$accessActions)) {
        $action->controller->enableCsrfValidation = true;
    }
    parent::beforeAction($action);
    return true;
}

3. “永远不过期”:  

此间的“永远不过期”包含两重合意思:

(1)
从redis上看,确实没有安装过时,这就保险了,不见面并发热点key过期问题,也便是“物理”不过期。

(2)
从成效上看,如果未超时,那非就是变成静态的了也?所以我们将过时是key对应的value里,如果发现只要过期了,通过一个后台的异步线程进行缓存的构建,也即是“逻辑”过期

       
从实战看,这种办法对于性大融洽,唯一不足之便是构建缓存时候,其余线程(非构建缓存的线程)可能看的凡镇多少,但是对于一般的互联网力量来说这还是得以经。

String get(final String key) {  
        V v = redis.get(key);  
        String value = v.getValue();  
        long timeout = v.getTimeout();  
        if (v.timeout <= System.currentTimeMillis()) {  
            // 异步更新后台异常执行  
            threadPool.execute(new Runnable() {  
                public void run() {  
                    String keyMutex = "mutex:" + key;  
                    if (redis.setnx(keyMutex, "1")) {  
                        // 3 min timeout to avoid mutex holder crash  
                        redis.expire(keyMutex, 3 * 60);  
                        String dbValue = db.get(key);  
                        redis.set(key, dbValue);  
                        redis.delete(keyMutex);  
                    }  
                }  
            });  
        }  
        return value;  
}

生成token字段

4. 资源保护:

采用netflix的hystrix,可以做资源的隔断保护主线程池,如果将这用至缓存的构建也未尝不可。

季种植缓解方案:没有最佳只有极适于

解决方案 优点 缺点
简单分布式互斥锁(mutex key)

 1. 思路简单

2. 保证一致性

1. 代码复杂度增大

2. 存在死锁的风险

3. 存在线程池阻塞的风险

“提前”使用互斥锁  1. 保证一致性 同上 
不过期(本文)

1. 异步构建缓存,不会阻塞线程池

1. 不保证一致性。

2. 代码复杂度增大(每个value都要维护一个timekey)。

3. 占用一定的内存空间(每个value都要维护一个timekey)。

资源隔离组件hystrix(本文)

1. hystrix技术成熟,有效保证后端。

2. hystrix监控强大。

 

 

1. 部分访问存在降级策略。

季栽方案来网络,详文请链接:http://carlosfu.iteye.com/blog/2269687?hmsr=toutiao.io&utm\_medium=toutiao.io&utm\_source=toutiao.io

在Request.php

总结

对工作系统,永远都是具体情况具体分析,没有尽好,只有极其合适。

最终,对于缓存系统广大的休养存满了与数量丢失问题,需要基于具体业务分析,通常我们应用LRU策略处理溢起,Redis的RDB和AOF持久化策略来保管得情况下的数额安全。

第一通过平安组件Security获取一个32各项的随机字符串,并存入cookie或session,这是原生的token.

/**
 * Generates  an unmasked random token used to perform CSRF validation.
 * @return string the random token for CSRF validation.
 */
protected function generateCsrfToken()
{
    $token = Yii::$app->getSecurity()->generateRandomString();
    if ($this->enableCsrfCookie) {
        $cookie = $this->createCsrfCookie($token);
        Yii::$app->getResponse()->getCookies()->add($cookie);
    } else {
        Yii::$app->getSession()->set($this->csrfParam, $token);
    }
    return $token;
}

随着通过平等系列加密替换操作,生成加密后_csrfToken,这个是传染被浏览器的token.
先随机产生CSRF_MASK_LENGTH(Yii2里默认是8各类)长度的字符串 mask

针对mask和token进行如下运算 str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask))); $this->xorTokens($arg1,$arg2) 是一个先补位异或运算

/**
 * Returns the XOR result of two strings.
 * If the two strings are of different lengths, the shorter one will be padded to the length of the longer one.
 * @param string $token1
 * @param string $token2
 * @return string the XOR result
 */
private function xorTokens($token1, $token2)
{
    $n1 = StringHelper::byteLength($token1);
    $n2 = StringHelper::byteLength($token2);
    if ($n1 > $n2) {
        $token2 = str_pad($token2, $n1, $token2);
    } elseif ($n1 < $n2) {
        $token1 = str_pad($token1, $n2, $n1 === 0 ? ' ' : $token1);
    }
    return $token1 ^ $token2;
}
public function getCsrfToken($regenerate = false)
{
    if ($this->_csrfToken === null || $regenerate) {
        if ($regenerate || ($token = $this->loadCsrfToken()) === null) {
            $token = $this->generateCsrfToken();
        }
        // the mask doesn't need to be very random
        $chars = 'ABCDEFGHIJKLMNOPQRSTUVWXYZabcdefghijklmnopqrstuvwxyz0123456789_-.';
        $mask = substr(str_shuffle(str_repeat($chars, 5)), 0, static::CSRF_MASK_LENGTH);
        // The + sign may be decoded as blank space later, which will fail the validation
        $this->_csrfToken = str_replace('+', '.', base64_encode($mask . $this->xorTokens($token, $mask)));
    }

    return $this->_csrfToken;
}

验证token

在controller.php里调用request.php里的validateCsrfToken方法

/**
 * @inheritdoc
 */
public function beforeAction($action)
{
    if (parent::beforeAction($action)) {
        if ($this->enableCsrfValidation && Yii::$app->getErrorHandler()->exception === null && !Yii::$app->getRequest()->validateCsrfToken()) {
            throw new BadRequestHttpException(Yii::t('yii', 'Unable to verify your data submission.'));
        }
        return true;
    }

    return false;
}
public function validateCsrfToken($token = null)
{
    $method = $this->getMethod();
    if (!$this->enableCsrfValidation || in_array($method, ['GET', 'HEAD', 'OPTIONS'], true)) {
        return true;
    }

    $trueToken = $this->loadCsrfToken();//如果开启了enableCsrfCookie,CsrfToken就从cookie里取,否者从session里取(更安全)

    if ($token !== null) {
        return $this->validateCsrfTokenInternal($token, $trueToken);
    } else {
        return $this->validateCsrfTokenInternal($this->getBodyParam($this->csrfParam), $trueToken)
            || $this->validateCsrfTokenInternal($this->getCsrfTokenFromHeader(), $trueToken);
    }
}

取得客户端传入

$this->getBodyParam($this->csrfParam)

然后是validateCsrfTokenInternal

private function validateCsrfTokenInternal($token, $trueToken)
{
    if (!is_string($token)) {
        return false;
    }
    $token = base64_decode(str_replace('.', '+', $token));
    $n = StringHelper::byteLength($token);
    if ($n <= static::CSRF_MASK_LENGTH) {
        return false;
    }
    $mask = StringHelper::byteSubstr($token, 0, static::CSRF_MASK_LENGTH);
    $token = StringHelper::byteSubstr($token, static::CSRF_MASK_LENGTH, $n - static::CSRF_MASK_LENGTH);
    $token = $this->xorTokens($mask, $token);

    return $token === $trueToken;
}

加密时用底凡 str_replace('+', '.', base64_encode(mask.mask.this->xorTokens(token,token,mask))); 解密
1.先是使把.替换成+ 2.然后base64_decode 再
根据长度分别取出mask和mask和this->xorTokens(token,token,mask) ;
为了印证方便 this−>xorTokens(this−>xorTokens(token, $mask)
这里叫 token1 然后 进行mask和token1的异或运算,即得token
注意在加密经常

token1=token^mask

所以 解密时

token=mask^token1=mask^(token^mask)

3.token缓存的化解方案

当页面整体被缓存后,token也吃缓存导致征失败,一栽普遍的解决思路是历次交前还取得token,这样尽管足以经过验证了。

附录:

str_pad(),该函数返回 input
被于左端、右端或者以少端给填充到制定长度后底结果。如果只是选的
pad_string 参数没有吃指定,input 将为空格字符填充,否则它们将吃
pad_string 填充到指定长度;

str_shuffle() 函数打乱一个字符串,使用外一样栽或的排序方案。

以yii2 csrf的说明的加解密
涉及到异或运算

故而待先添补php里字符串异或运算的相干文化,不需之足跨了

^异或运算 不雷同返回1 否者返回 0
在PHP语言中,经常用来举行加密的演算,解密也一直用^就推行 字符串运算时
利用字符的ascii码转换为2进制来运算 单只字符运算

1.于单个字符和单个字符的
直接计算其结果即可 比如表里的a^b

2.对长度一样的大都独字符串 如表里的ab^cd
计算a^c对应之结果跟与b^d对应的结果 对应的字符连接起来

相关文章

发表评论

电子邮件地址不会被公开。 必填项已用*标注

网站地图xml地图