csrf 的随机 csrf token 默认是保存在 session 中，如果改为分布式环境下，只能将这一值保存在 redis 中吗？还有别的办法吗？

2021-10-12 18:55:25 +08:00

xiaoyanbot

2012 次点击

所在节点

信息安全

9 条回复

Peter2Zhu

2021-10-12 19:09:59 +08:00

加密存在表单里

Xusually

2021-10-12 19:15:06 +08:00

这个看你的 token 生成和验证方式

如果是普通的随机生成的，那么在分布式环境中只能存在 redis 、memcache 等大家都可以读写验证的地方。
如果是有算法的，比如服务端有 key 的可逆加密的，可以解出来有效信息，并且有效信息比如过期时间，用户 id 什么可供单点验证的，那倒也可以不存？

楼主你的顾虑是？

ragnaroks

2021-10-12 19:48:44 +08:00

有别的办法，但存在 memcache/redis 这里就是低成本最优解决办法了

GTim

2021-10-12 20:11:37 +08:00

使用 sha256 等算法，把密钥写死在代码里，然后生成 token = `sha256(密钥+时间戳)`，下发下去给客户端的 csrf_token 值为 `token . 时间戳`，也就是把时间戳带下去给客户端。

chendy

2021-10-12 22:56:20 +08:00

用分布式的 session 不用单机 session （ java 这边可以 spring-session ）就完事了。。。

phithon

2021-10-13 07:59:07 +08:00

csrf 的 token 可以保存在 cookie 里。可以看下这篇文章：<https://www.leavesongs.com/PENETRATION/think-about-cookie-form-csrf-protected.html>

clcx

2021-10-13 10:14:33 +08:00

JWT

lululau

2021-10-13 12:26:15 +08:00

1. 和 Rails 一样，直接把 session 加密放到 Cookie 里
2. 单把 CSRF Token 放到 Cookie 里

xiaoyanbot

2021-10-15 09:33:31 +08:00

@Xusually

有道理，对的

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/807383

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

csrf 的随机 csrf token 默认是保存在 session 中， 如果改为分布式环境下， 只能将这一值保存在 redis 中吗？还有别的办法吗？

csrf 的随机 csrf token 默认是保存在 session 中，如果改为分布式环境下，只能将这一值保存在 redis 中吗？还有别的办法吗？