1. 思路

参考:https://stackoverflow.com/questions/20826201/simple-csrf-protection-using-nginx-alone?r=SearchResults

第一步:

前端页面向后端发送生成csrf请求(get 方法),后端服务器生成csrf_token返回gei前端

第二步:

前端收到csrf_token后,将csrf_token写入cookie中,在post请求中,随cookie与请求头发送到后端中。

2.相关代码

2.1 Nginx 配置

##

# You should look at the following URL's in order to grasp a solid understanding

# of Nginx configuration files in order to fully unleash the power of Nginx.

# https://www.nginx.com/resources/wiki/start/

# https://www.nginx.com/resources/wiki/start/topics/tutorials/config_pitfalls/

# https://wiki.debian.org/Nginx/DirectoryStructure

#

# In most cases, administrators will remove this file from sites-enabled/ and

# leave it as reference inside of sites-available where it will continue to be

# updated by the nginx packaging team.

#

# This file will automatically load configuration files provided by other

# applications, such as Drupal or Wordpress. These applications will be made

# available underneath a path with that package name, such as /drupal8.

#

# Please see /usr/share/doc/nginx-doc/examples/ for more detailed examples.

##

# Default server configuration

#

#server {

#    listen 80 default_server;

#    listen [::]:80 default_server;

    # SSL configuration

    #

    # listen 443 ssl default_server;

    # listen [::]:443 ssl default_server;

    #

    # Note: You should disable gzip for SSL traffic.

    # See: https://bugs.debian.org/773332

    #

    # Read up on ssl_ciphers to ensure a secure configuration.

    # See: https://bugs.debian.org/765782

    #

    # Self signed certs generated by the ssl-cert package

    # Don't use them in a production server!

    #

    # include snippets/snakeoil.conf;

#    root /var/www/html;

    # Add index.php to the list if you are using PHP

#    index index.html index.htm index.nginx-debian.html;

#    server_name _;

#    location / {

        # First attempt to serve request as file, then

        # as directory, then fall back to displaying a 404.

#        try_files $uri $uri/ =404;

#    }

    # pass PHP scripts to FastCGI server

    #

    #location ~ \.php$ {

    #    include snippets/fastcgi-php.conf;

    #

    #    # With php-fpm (or other unix sockets):

    #    fastcgi_pass unix:/run/php/php7.3-fpm.sock;

    #    # With php-cgi (or other tcp sockets):

    #    fastcgi_pass 127.0.0.1:9000;

    #}

    # deny access to .htaccess files, if Apache's document root

    # concurs with nginx's one

    #

    #location ~ /\.ht {

    #    deny all;

    #}

#}

# Virtual Host configuration for example.com

#

# You can move that to a different file under sites-available/ and symlink that

# to sites-enabled/ to enable it.

#

server {

    listen 80;

    listen [::]:80;

#

    server_name localhost;

#

    #root /var/www/example.com;

#    root /var/www/html;

#    root /home/pi/Desktop/tornado_example/linux_tornado/movie/static;

#    index index.html;

#

    location ~* /admin/ {

#        try_files $uri $uri/ =404;

                proxy_pass http://127.0.0.1:5000;

#                proxy_connect_timeout 600;

#                proxy_read_timeout 600;

                proxy_cookie_domain localhost:5000 localhost:80;   #保证cookie不受跨域影响

    }

    location / {

             root /var/www/;

             index index.nginx-debian.html;

    }

    location /html/ {

             root /var/www/static/;

             index index.nginx-debian.html;

    }

}

2.1 flask 后端编写

from flask_wtf import csrf

@admin.route("/csrf_token")

def get_csrf_token():

    "生成csrf_token"

    csrf_token = csrf.generate_csrf()

    return '{"errno":0,"errmsg":"OK","csrf_token":"%s"}' % csrf_token,200,{"Content-Type":"application/json"}

2.2 前端编写

js 文件

login.js

function getCookie(name) {

    var r = document.cookie.match("\\b" + name + "=([^;]*)\\b");

    return r ? r[1] : undefined;

}

function setCookie() {

    $.get("/admin/csrf_token",function(resp) {  // 向后端发送获取csrf_token 请求

      $("#csrf_token").attr("csrf_token",resp.csrf_token) // 将得到的 csrf_token写道html元素中

    });

}

$(document).ready(function() {

    $("#user").focus(function(){

        $("#user-err").hide();

    });

    $("#password").focus(function(){

        $("#password-err").hide();

    });

   setCookie() //获取csrf_token

    $(".form-login").submit(function(e){

        e.preventDefault();

        account = $("#user").val();

        passwd = $("#password").val();

        if (!account) {

            $("#user-err span").html("请填写正确帐号!");

            $("#user-err").show();

            return;

        }

        if (!passwd) {

            $("#password-err span").html("请填写密码!");

            $("#password-err").show();

            return;

        }

        var data = {

            account:account,

            password:passwd

        };

        var csrf_data = $("#csrf_token").attr("csrf_token");  // 从html 获取csrf_token

        document.cookie = "csrf_token" + "=" + csrf_data;  // 将csrf_token 写入cookie

        var jsonData = JSON.stringify(data);

        $.ajax({  // post 请求登录

            url:"/admin/sessions",

            type:"post",

            data:jsonData,

            contentType:"application/json",

            dataType:"json",

            headers:{

                "X-CSRFToken":getCookie("csrf_token")

            },

            success:function (data) {

                if (data.errno=="0"){

                    // 登录成功,跳转到主页

                    location.href ="/html/index.html"

                } else {

                  // 其他错误信息,在页面中展示

                  $("#password-err span").html(data.errmsg);

                  $("#password-err").show();

                }

            }

        });

    });

})

html 文件

<!DOCTYPE html>

<html>

<head>

    <meta charset="utf-8">

    <meta http-equiv="X-UA-Compatible" content="IE=edge">

    <title>招投标爬虫管理</title>

    <meta content="width=device-width, initial-scale=1, maximum-scale=1, user-scalable=no" name="viewport">

    <link rel="stylesheet" href="../static/admin/bootstrap/css/bootstrap.min.css">

    <link rel="stylesheet" href="../static/fonts/css/font-awesome.min.css">

    <link rel="stylesheet" href="../static/ionicons/css/ionicons.min.css">

    <link rel="stylesheet" href="../static/admin/dist/css/AdminLTE.min.css">

    <link rel="stylesheet" href="../static/admin/plugins/iCheck/square/blue.css">

</head>

<body class="hold-transition login-page">

<div class="login-box">

    <div class="login-logo">

        <a href=""><b>招投标爬虫系统</b></a>

    </div>

    <div class="login-box-body">

        <p class="login-box-msg"></p>

        <form class="form-login">

            <div class="form-group has-feedback">

                <input name="user" id="user" type="text" class="form-control" placeholder="请输入账号!">

                <span class="glyphicon glyphicon-envelope form-control-feedback"></span>

                <div class="col-md-12" id="input_user"></div>

            </div>

            <div class="error-msg" id="user-err"><i class="fa fa-exclamation-circle"></i><span></span></div>

            <div class="form-group has-feedback">

                <input name="pwd" id="password" type="password" class="form-control" placeholder="请输入密码!">

                <span class="glyphicon glyphicon-lock form-control-feedback"></span>

                <div class="col-md-12" id="input_pwd"></div>

            </div>

       <div class="error-msg" id="password-err"><i class="fa fa-exclamation-circle"></i><span></span></div>

            <div class="form-group has-feedback">

                <input name="csrf_token" id="csrf_token" type="hidden" class="form-control" >

            </div>

           <div class="row">

                <div class="col-xs-8"></div>

                <div class="col-xs-4">

            <input id="btn-sub" type="submit" class="btn btn-primary btn-block btn-flat" value="登录">

                </div>

            </div>

        </form>

    </div>

</div>

<script src="../static/admin/plugins/jQuery/jQuery-2.2.0.min.js"></script>

<script src="../static/admin/bootstrap/js/bootstrap.min.js"></script>

<script src="../static/admin/plugins/iCheck/icheck.min.js"></script>

<script src="/static/js/crawler/login.js"></script>

</body>

</html>

web 部署专题(九):Nginx 前后端分离中csrf_token 认证的实现的更多相关文章

  1. 前后端分离中的无痛刷新token机制

    今天我们来说一说前后端分离中的无痛刷新token机制 博主先来分享一波福利,最近挖到的宝藏,刚开始学Java的同学看 https://www.bilibili.com/video/BV1Rx41187 ...

  2. nodejs--JWT 在前后端分离中的应用与实践

    nodejs--JWT 在前后端分离中的应用与实践 http://www.cnblogs.com/lidongyue/p/5269695.html

  3. Nginx部署前端代码实现前后端分离

    实现前后端分离,可以让前后端独立开发.独立部署.独立单测,双方通过JSON进行数据交互. 对于前端开发人员来说,不用每次调试都需要启动或配置Java/Tomcat运行环境:对于后端开发人员来说 ,也不 ...

  4. 通过nginx部署前端代码实现前后端分离

    实现前后端分离,可以让前后端独立开发.独立部署.独立单测,双方通过JSON进行数据交互. 对于前端开发人员来说,不用每次调试都需要启动或配置Java/Tomcat运行环境:对于后端开发人员来说 ,也不 ...

  5. 谈谈渲染,玩玩nginx——前后端分离,转发请求到Tomcat的尝试

    一.谈谈"渲染" 相信好多人都挺听过"渲染"这个词,但不清楚它是什么意思?前端开发以为这是后端的活儿,后端开发以为是前端的事儿,推着推着就不了了之.其实渲染很简 ...

  6. nginx 前后端分离 代理转发,解决跨域问题

    场景 适用于公司有前端,项目采用前后端分离.类似于我们 后端 springboot 提供接口,前端专门写html调用相应的接口,解决跨域问题 配置说明 worker_processes 1; even ...

  7. JWT 在前后端分离中的应用与实践

    关于前后端分离 前后端分离是一个很有趣的议题,它不仅仅是指前后端工程师之间的相互独立的合作分工方式,更是前后端之间开发模式与交互模式的模块化.解耦化.计算机世界的经验告诉我们,对于复杂的事物,模块化总 ...

  8. 基于前后端分离的身份认证方式——JWT

    什么是JWT JWT--Json web token 是为了在网络应用环境间传递声明而执行的一种基于JSON的开放标准,可实现无状态.分布式的Web应用授权. 现在一般都用redis来出来token做 ...

  9. shiro vue 前后端分离中模拟登录遇到的坑

    系统采用jeeplus框架(ssm+redis+shiro+mongodb+redis),默认是了JSP未做前后端分离,由于业务需要已经多终端使用的需求(H5.小程序等),需要实现前后端分离.但是由于 ...

随机推荐

  1. Nice Jquery Validator 内置属性

    required - 必填 适用于 input.textarea.select 输入框.(checkbox 与 radio 请使用 checked 规则)字段必填,则值不能为空.字段非必填,则值为空的 ...

  2. String源码理解之indexOf函数

    1前言 不多说,直接上源码 2源码 我自己的理解,可能表述不清,多看几遍,不行就debug跟一遍代码自然就懂了. /** * Code shared by String and StringBuffe ...

  3. GitHub 热点速览 Vol.24:程序员自我增值,优雅赚零花钱

    摘要:升职加薪,出任 CTO,迎娶白富美/高帅富,走向人生巅峰是很多人的梦想.在本期的热点速览中你将了解自由作者 Easy 如何优雅赚取零花钱的方法,以及定投改变命运 -- 让时间陪你慢慢变富.说到程 ...

  4. 带你学够浪:Go语言基础系列 - 8分钟学复合类型

    ★ 文章每周持续更新,原创不易,「三连」让更多人看到是对我最大的肯定.可以微信搜索公众号「 后端技术学堂 」第一时间阅读(一般比博客早更新一到两篇) " 对于一般的语言使用者来说 ,20% ...

  5. centos7搭建EFK

    环境: system: CentOS Linux release 7.7.1908 elasticsearch: elasticsearch-7.5.1-1.x86_64 kibana: kibana ...

  6. ASP.NET处理管道初谈

    客户端往发送的请求到达服务端到服务端响应回客户端的这段时间内,实际上服务器内并不只是简单地对请求进行处理,然后把处理结果响应回去,而是经过一系列多达19个事件之后才能产生最后地处理结果. 因此:其处理 ...

  7. .Net Core踩坑记:读取txt中文乱码

    迁移.net framework的项目,有块读取txt中文转码的问题,普通的不能再普通的代码,想都没想直接copy过去,也没测,结果今天就被坑了.Core是3.1版本,这是原来的代码: string ...

  8. selenium3.0-selenium发展史

  9. 明文暴露___JS前台加密,java后台解密实现

    1.前台JS <script type="text/javascript"> $(function() { $("#btn").click(func ...

  10. JavaWeb网上图书商城完整项目--BaseServlet

    1.以前进行操作的时候,例如我们进行登陆操作我们使用LoginServlet进行处理,进行注册操作我们使用RegisterServlet,很多业务的操作的时候我们就要定义很多个Servlet 有了Ba ...