@[TOC](内容总览)
我与双Token的第一次邂逅,是在手搓自己的个人博客时遇到的。
我仍然很清晰地记得,我是如何实现的:
```
我记得挺清楚,大致就是 短token与刷新token都放在了 请求头中,
如下:
```
## 旧的双Token实现方法
### Token类型
- **Access Token**: 短期有效token,用于API访问验证
- **Refresh Token**: 长期有效token,用于刷新Access Token
### 传输方式
```http
x-access-token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
x-refresh-token: eyJhbGciOiJIUzI1NiIsInR5cCI6IkpXVCJ9...
```
### 核心流程
1. **登录**: 返回双token到响应体
2. **API调用**: 前端在请求头携带Access Token
3. **Token刷新**: Access Token过期时,使用Refresh Token获取新的双token
4. **多点登录控制**: 新登录时将旧Refresh Token加入黑名单
### 没有意识到的风险
```
我仍然记得,当时兴致匆匆的,以为自己是个天才。
限于当时的学识,我从来没有考虑过:xss攻击。
现在回想起来真是让当时的自己感到脸红。
```
#### 什么是XSS
`XSS(跨站脚本攻击)` 是一种常见的网络安全漏洞,攻击者通过在网页中注入恶意脚本,在用户浏览器中执行这些脚本来窃取信息或进行其他恶意操作。并且他主要有两种。
1. 存储型 XSS
```
- 恶意脚本被永久存储在服务器上(如数据库)
- 当其他用户访问受影响页面时自动执行
- 危害:盗取用户会话、cookie、个人信息
```
2. 反射型 XSS
```
- 恶意脚本通过 URL 参数等方式传递
- 服务器直接返回包含恶意脚本的页面
- 需要诱使用户点击恶意链接
```
`简单来说,你可以将其看作一个,他会偷走你数据的小偷。`
## 转机
后来在参加过几个项目后,我就开始为双Token的缺陷寻找解决方案。
最开始,我想到的方法是:
```
Access + Refresh 均放 Cookie
当cookie中的HttpOnly设置为true时,脚本就偷不走我想保护的数据了。
因为此时两者(Access、Refresh)均不受 XSS(因为HttpOnly=true)
```
### CSRF的风险
```
当我以为,我已经找到了万全之策时,
殊不知,我只是从一个坑跳进了另一个坑。
```
#### 什么是CSRF
你可以想象一下,接下来这个场景:
```
- 你登录了网上银行(保持登录状态)
- 然后你访问了一个恶意网站
- 这个恶意网站悄悄向银行发送转账请求
- 因为浏览器会自动带上你的登录cookie,银行认为这是你的合法操作
- 结果:你的钱被转走了
```
#### 常见的攻击步骤:
1. **用户登录**:用户登录正规网站,获得认证cookie
2. **保持会话**:用户没有登出,会话仍然有效
3. **访问恶意网站**:用户点击了攻击者发的链接或访问恶意网站
4. **伪造请求**:恶意网站自动向正规网站发送请求(携带用户的cookie)
5. **执行操作**:正规网站认为是用户的自愿操作
#### CSRF 与 XSS 的区别:
| 特性 | CSRF | XSS |
|------|------|-----|
| **攻击目标** | 利用用户的登录状态 | 窃取用户数据/会话 |
| **攻击方式** | 伪造请求 | 注入恶意脚本 |
| **依赖条件** | 用户已登录目标网站 | 网站存在输入漏洞 |
| **防护重点** | 请求来源验证 | 输入输出过滤 |
`大概意思是说:CSRF是个骗子,而XSS是个小偷`
## 新的解决方案
`世上没有十全十美`,而我现在采用的方式是:**Refresh 用 HttpOnly Cookie** +** Access 用 Header**
### 现方案:Refresh 用 HttpOnly Cookie + Access 用 Header
- 客户端约定:
- 请求头携带:`x-access-token: <ACCESS_TOKEN>`
- 刷新时:浏览器自动携带 `x-refresh-token` Cookie(HttpOnly)
- 后端行为:
- 登录设置 `x-refresh-token`(HttpOnly, Path=/, Domain=当前域,`secure` 随 HTTPS)
- 刷新接口只需读取 Cookie,不接收 `x-refresh-token` 头
- 多点登录/黑名单:Redis 记录旧 Refresh,登录时旧值入黑名单并写入新值
- 优点:
- XSS 面显著降低:Refresh Token 不再可读
- CSRF 可控:结合 SameSite、Origin 校验、Token 验签
- 前端更简:无需存/传 Refresh Token
- 注意点:
- 跨域需开启凭证:前端 `withCredentials: true`;后端 CORS 需 `Access-Control-Allow-Credentials: true` 且明确 `Allow-Origin`
通过以上的折中的方案,可以既能享受到双token带来的便利,又能尽量降低损失。
如果你还有更好的建议,欢迎留言,评论( •̀ ω •́ )✧
## 拓展:
### 跨域是什么
浏览器把“同源”定义为三要素都相同:**协议 + 域名(IP) + 端口**。
只要有一个不同,就叫跨域,会触发 CORS 限制。
例子:
- `http://192.168.1.10:3000` → `http://192.168.1.10:8002`:端口不同,跨域
- `http://localhost:3000` → `http://127.0.0.1:3000`:域名不同,跨域
- `http://` → `https://`:协议不同,跨域
### Cookie 常用字段说明(作用)
- **name / value**:Cookie 的名字和值
- **domain**:限定哪个域名可以收到这个 Cookie
- **path**:限定哪个路径可以收到这个 Cookie(如 `/` 代表全站)
- **expires / maxAge**:过期时间(maxAge 是秒;expires 是具体时间点)
- **secure**:只允许在 HTTPS 连接下发送
- **httpOnly**:JS 无法读取(document.cookie 看不到),防 XSS
- **sameSite**:控制跨站请求是否携带 Cookie
- **Lax**:默认,跨站的普通请求不带,安全和可用平衡
- **Strict**:最严格,跨站一律不带
- **None**:跨站也带,但必须配合 `secure=true`(HTTPS)
```go
// 判断 host 是否是 IP 地址;IP 访问下不要设置 domain
if net.ParseIP(host) != nil {
c.SetCookie(name, value, maxAge, "/", "", c.Request.TLS != nil, false)
return
}
// 域名访问:设置 domain 为主机名
// 设置 SameSite 为 Lax(默认),如需 Strict 需显式调用 c.SetSameSite(http.SameSiteStrictMode)
// 这里保持默认 Lax 以平衡安全性与体验
c.SetCookie(name, value, maxAge, "/", host, c.Request.TLS != nil, false)
```
