服务器如何知道请求来自客户端，而不是窃听的黑客？

2024-02-21

我有一个简单的问题，我找不到简单的答案，可能我遗漏了一些东西，或者我不知道某些网络概念是如何工作的。我想知道我不知道的事情。

简单地说，问题是虽然窃听是可能的，但服务器如何知道请求来自客户端，而不是窃听的黑客。

设想：

无论我采用什么安全策略，我都应该向客户发送一些内容。它可能是非对称加密令牌或其他东西。客户端没有私钥，因此无论客户端能够做什么、发送等，黑客也可以做什么、发送。

保护 Web 应用程序背后的逻辑可能是什么？应该有一些只有客户知道的秘密。

顺便说一句，我正在学习 JWT，这是我第一次学习 auth。但这个简单的问题我仍然无法找到答案。

服务器如何知道请求来自客户端，而不是客户端窃听黑客？

事实并非如此。

由客户端来验证服务器是否是它期望与之通信的服务器。它被称为公钥基础设施 https://en.wikipedia.org/wiki/Public_key_infrastructure.

可以使用 TLS/SSL，因此连接是通过 HTTPS 进行的 - 请注意，它不必是 Diffie Hellman，还有其他密钥交换机制，例如 RSA。

想象一下以下场景。

Client --> HTTPS --> example.com

客户端将对 example.com 进行 DNS 查找，并返回 203.0.113.10。客户端将通过 HTTPS 连接到 203.0.113.10，连接的初始部分称为握手过程。在这里，客户端检查它正在考虑连接的域 example.com 是否拥有由受信任的证书颁发机构签名的证书，主题设置为“example.com”。这将防止发生以下情况：

Client --> HTTPS --> Attacker (fake example.com)

例如，如果攻击者接管了 DNS 服务器并将 example.com 更改为指向他 (198.51.100.200)。

这种攻击之所以能被阻止，是因为攻击者无法向证书颁发机构证明 example.com 的所有权，因此无法对其证书进行签名以向客户端证明其服务器是可信的。

HTTPS 还对连接进行加密，并以安全的方式交换密钥。这可确保无法读取已建立的连接。

因此，一旦建立连接并且用户登录，服务器就会向客户端发送会话令牌，该令牌可以采用 JWT 的形式。如果这是一个 cookie 并且安全标志 https://www.owasp.org/index.php/SecureFlag设置后，只能通过 HTTPS 连接进行传输。这就是服务器知道它没有被拦截的原因，因为客户端已经验证了服务器，并使用双方同意的唯一密钥对传输到服务器的数据进行了加密。

Client --> HTTPS --> Attacker (fake example.com) --> HTTPS --> example.com

也不可能（主动中间人），这显示了您最初问题中的情况，其中有人拦截通信并将 JWT 传递到真实服务器，观察传输中的私有数据。然而，如果使用纯 HTTP（无 SSL/TLS）：

Client --> HTTP --> Attacker (fake example.com) --> HTTP --> example.com

本文内容由网友自发贡献，版权归原作者所有，本站不承担相应法律责任。如您发现有涉嫌抄袭侵权的内容，请联系:hwhale#tublm.com(使用前将#替换为@)

服务器如何知道请求来自客户端，而不是窃听的黑客？的相关文章

如何在spring-security的SecurityContext中存储自定义信息？

在我的应用程序中我使用 LDAP 身份验证但我还有 2 个远程服务需要通过登录方法用户名密码进行身份验证该方法返回安全令牌这使我能够调用其他方法即我应该将安全令牌作为第一个参数传递给服务方法所以我想在使用 LDAP 成功
检查字符串是否是哈希值

我正在使用 SHA 512 来散列我的密码当然还有盐我认为我想要的不可能但无论如何我们还是要问一下有没有办法检查字符串是否已经是 SHA 512 或其他算法哈希值当用户登录时我想检查他的密码如果它仍然是纯文本则应将其转换为
Cakedc.users => 总是重定向到主页

我在新的 Cakephp 安装上使用插件 CakeDC Users 我有两个控制器 PagesController php CardsController php Pages 有 1 个操作 Beta 它是主页 Cards 有两个操作索引
使用 PBKDF2 和 SHA256 生成 128 位 AES 密钥是否安全？

我想使用 PBKDF2 和一些加密哈希函数来生成 128 位 AES 密钥 SHA1 也是 128 位所以我想将其与 PBKDF2 一起使用但它已损坏所以我选择使用 SHA256 这是否安全或者散列大小和生成的密钥大小之间的差异是否
使用 C# 登录《我的世界》

我正在尝试为自己和一些朋友创建一个简单的自定义 Minecraft 启动器我不需要启动 Minecraft 的代码只需要登录的实际代码行例如据我所知您过去可以使用 string netResponse httpGET https
通过移动应用程序使用 Moodle 进行身份验证

我的移动应用程序需要登录 Moodle 以从 Web 服务获取 Json 数据并使用 Angular 显示它为此我需要传入用户名和密码并取回 Moodle Web 服务令牌因此我的应用程序不需要再次登录至少在令牌过期之前这是提出
powershell Invoke-WebRequest WebSession 不起作用

我无法让以下代码工作它似乎已登录但随后返回带有 response 的登录页面我猜这与回发有关有办法解决这个问题吗谢谢 login Invoke WebRequest Uri http www sqlpass org UserLog
任何第三方都可以从我的项目加载嵌入式资源吗？

请参考我的一篇之前的问题 https stackoverflow com questions 14681364 issues passing data from dll to application 我问的是如何从 DLL 加载已编译的资源
Couchdb - 为读者用户提供的蒲团

我想知道如何阻止读者访问 couchdb 中的 futon utils 只允许管理员访问我需要这样做为什么如果读者用户访问蒲团他可以看到我所有数据库的名称以及有多少文档我的应用程序应该让读者只有在知道文档 ID 时才能访问文档引用
MongoDB C# 驱动程序检查身份验证状态和角色

这是我使用 MongoDB 身份验证机制登录 MongoDB 的代码 try var credential MongoCredential CreateMongoCRCredential test admin 123456 var sett
checkmarx - 如何解决存储的绝对路径遍历问题？

Checkmarx v 9 3 0 HF11 我将 env 值作为 dev uat 服务器中使用的 docker 文件中的数据目录路径传递 ENV DATA app data 在本地使用以下环境变量数据 C 项目应用程序数据 get
.NET 中安全身份的本地化

我想在 NET 中实现一个用于服务客户端通信的命名管道并遇到了这段代码 http code msdn microsoft com windowsdesktop CSNamedPipeCommunication 33b2485c view
使用 Facebook 进行身份验证的网站的 REST API

我们有一个网站其中only登录网站并进行身份验证的方式是使用 Facebook 这不是我的选择当您第一次登录 Facebook 时系统会自动为您创建一个帐户现在我们希望为我们的网站创建一个 iPhone 应用程序并为其他人使用我
VBA - 如何从网站下载.xls并将数据放入Excel文件

我设法使用 VBA 达到准备从网络下载 Excel 文件的程度但我无法弄清楚如何实际下载该文件并将其内容放入我正在使用的 Excel 文件中有什么建议么谢谢这是到目前为止的代码 Sub GetData Dim IE As Inter
如何使用 Javascript OAuth 库不暴露您的密钥？

看着Twitter OAuth 库 https dev twitter com docs twitter libraries 我看到了这个注释将 JavaScript 与 OAuth 结合使用时要小心不要暴露你的钥匙然后看着jsOA
Mysql加密/存储敏感数据，

我的 PHP 网站有以下内容启用 SSL 饼干 session set cookie params cookieParams lifetime cookieParams path cookieParams domain secure ht
尝试访问 iframe 内容（不同子域）；尝试设置 CORS

我将文件托管在domain com 其中包含一个 iframe 其文档托管在s3 domain com 我正在尝试访问 iframe 的内容但收到以下信息不安全的 JavaScript 尝试通过 URL 访问框架http s3 doma
在路线中使用中间件的车队购物车，但我在项目中找不到任何 $routemiddleware...甚至在 kernel.php 中也找不到...我在哪里可以找到它？

在路线中使用中间件的车队购物车但我在项目中找不到任何 routemiddleware 甚至在 kernel php 中也找不到我在哪里可以找到它 Laravel 版本 5 7 护照版本 7 5 CMS 舰队购物车内核 php name
如何检查用户是否使用 FB SDK 4.0 for Android 登录？

几天前我在我的应用程序中实现了 FB Login 今天我发现我实现的大部分内容现在都已弃用之前我用的是Session查看用户是否已登录但是这不适用于新的 SDK 根据他们的文档我们可以使用AccessToken getCurren
还记得我的 Cookie 最佳实践吗？

我读到了许多关于这个论点的老问题我认为最好的做法是设置一个 cookieusername user id和一个随机令牌相同 cookie 的数据在 cookie 创建时存储在数据库中当用户拥有 cookie 时它们会进行比较 co

随机推荐

Android Studio：“Gradle 同步失败：无法从选定的 JDK 运行 JVM。”

自从安装Android Studio 3 2后我一直无法运行Java 我尝试过jdk 8u181 windows x64 jdk 10 0 2 windows x64 bin jdk 11 windows x64 bin 环境PATH并重
映射到同类 Traversable 的 Traversable 类型

简洁版本 Scala 中的大多数泛型集合都有一个map实际上该方法将返回相同类型的集合 List A map f A gt B 返回一个List B 例如 Scala 集合库就是为了实现这一目标而明确设计的如果我想编写对任何此类集合具有
使用 Selenium 上传文件失败

我正在尝试使用 Selenium 在 Eclipse 上使用以下代码将文件上传到表单 search driver find element by xpath input type file search send keys D test t
使用 image.complete 查找图像是否缓存在 chrome 上？

我一直试图找出外部图像是否用js缓存在浏览器上这是我到目前为止的代码
XML 转换导致 FileNotFoundException

由于缺乏信息我之前发布的问题已关闭如果我在这里遗漏了什么请告诉我转换器似乎将 file 添加到我的文件路径的开头我在 Solaris 环境中工作应用转换时会发生以下情况 DOMSource sourcexml new DOMSo
Android模拟器无法创建上下文0x3005

我对 Android 开发完全陌生我正在尝试在 Android 中执行一个小任务注册表单但是我收到以下错误 2013 12 05 11 06 26 Emulator could not get wglGetExtensionsStr
C++ 随机猜数字游戏

我必须编写一个程序来运行随机猜谜游戏游戏的数字是从 1 到 100 猜测者可以尝试 20 次最后应该被问是否愿意再玩一次如果猜测者高或低还必须有多种打印输出选项我已经完成了程序的一部分我知道我仍然需要添加其他打印输出选项但现在
解释UnixTime毫秒

我正在尝试找到更好的方法在 C 中将 DateTime 转换为 unix 时间戳我发现有一个 DateTimeOffset ToUnixTimeMilliseconds 方法 public long ToUnixTimeMilliseco
MvxCachingFragmentCompatActivity消失了吗？

我正在尝试升级到 MvvmCross 5 2 但在 MvxCachingFragmentCompatActivity 上出现语法错误这个班级消失了吗正如 5 2 博客中所解释的 https www mvvmcross com mvvmc
如何更新d3表？

鼠标移动时更新 d3 js 表时遇到一些问题这是一个简化的example https jsfiddle net lszhou2115 npzjLng9 6 在jsfiddle中这是主要代码 function mousemove var
如何修复 ubuntu 中的“没有名为‘kivy._clock’的模块”错误？

我正在尝试使用 Ubuntu 16 04 for Python 3 6 安装 kivy GUI lib 我尝试执行kivy官方网站中的步骤 https kivy org doc stable installation installatio
GAE java中通过证书进行客户端身份验证

我正在写一份申请GAE java通过其身份验证用户证书我已经使用创建了一个自签名证书keytool在客户端我还在 Google 应用程序引擎中为我的应用程序启用 https 请求申请流程非常简单用户使用任何浏览器进入应用程序的主页
为什么 c++ std::max_element 这么慢？

我需要找到向量中的最大元素所以我使用std max element 但我发现它是一个非常慢的函数所以我编写了自己的版本并设法获得 x3 更好的性能下面是代码 include
如果等于运算符没有被空格包围，为什么它不起作用？

我尝试了以下脚本 bin bash var1 Test 1 var2 Test 2 if var1 var2 then echo Equal else echo Not equal fi 它给了我Equal 虽然应该已经打印出来了Not e
如何在 ASP.NET Core 2.0 和 EF Core 2.0 中将应用程序设置从项目根获取到 IDesignTimeDbContextFactory 实现

我正在 ASP NET Core 2 0 中构建应用程序但在 EntityFramework 迁移方面遇到问题我的 DbContext 位于一个单独的项目中解决方案名称项目名称前缀 Data 因此我创建了 IDesignTimeDb
D3 动态重绘Y轴

我想创建一个具有多个线性轴的动态图绘制轴后我想当新数据到达时更改数据域并重新绘制更新轴我可以使用 D3 选择现有轴并执行此操作还是必须在代码中显式保存每个轴我希望我的问题不会令人困惑 init all Y Axis ea
C++ STL 容器和就地构建

请考虑以下事项 class CMyClass public CMyClass printf Constructor n CMyClass const CMyClass printf Copy constructor n int main s
什么是棱镜？

我试图更深入地了解lens库所以我尝试使用它提供的类型我已经有了一些使用镜头的经验知道它们的强大和方便所以我转向了 Prisms 但我有点迷失了棱镜似乎可以做两件事确定实体是否属于总和类型的特定分支如果属于则捕获元组或单例中
Golang 方法函数中的接收器类型无效

我正在尝试制作一个简单的包来将 SSH 命令发送到服务器我有以下代码 type Connection ssh Client func Connect addr user password string conn Connection er
服务器如何知道请求来自客户端，而不是窃听的黑客？

我有一个简单的问题我找不到简单的答案可能我遗漏了一些东西或者我不知道某些网络概念是如何工作的我想知道我不知道的事情简单地说问题是虽然窃听是可能的但服务器如何知道请求来自客户端而不是窃听的黑客设想无论我采用什么安全策略我

服务器如何知道请求来自客户端，而不是窃听的黑客？

服务器如何知道请求来自客户端，而不是窃听的黑客？ 的相关文章

随机推荐

热门标签

服务器如何知道请求来自客户端，而不是窃听的黑客？的相关文章