Cookie防篡改机制

1、为何Cookie须要防篡改

为何要作Cookie防篡改，一个重要缘由是 Cookie中存储有判断当前登录用户会话信息（Session）的会话票据-SessionID和一些用户信息。
当发起一个HTTP请求，HTTP请求头会带上Cookie，Cookie里面就包含有SessionID。
后端服务根据SessionID，去获取当前的会话信息。若是会话信息存在，则表明该请求的用户已经登录。
服务器根据登录用户的权限，返回请求的数据到浏览器端。

由于Cookie是存储在客户端，用户能够随意修改。因此，存在必定的安全隐患。

2、例子

1. 用户wall在浏览器端输入用户名密码,发起POST请求到后端服务器。后端服务器验证合法，返回Response，并Set-Cookie为sessionid=***;username=wall;。
2. 浏览器端在接收到HTTP响应后，发现Set-Cookie，将其存入本地内存或硬盘中。
3. 浏览器端再次发起请求，带上Cookie信息sessionid=***;username=wall;，请求修改本身的头像信息。
4. 服务器根据sessionid验证当前用户已登录，根据username,查找数据库中的对应数据，修改头像信息。

---

若是当前用户知道username的做用，修改username=pony。再次发起请求，则服务器接收到请求后，会去修改username为pony的数据。
这样，就暴露出数据被恶意篡改的风险。

3、防篡改签名

服务器为每一个Cookie项生成签名。若是用户篡改Cookie，则与签名没法对应上。以此，来判断数据是否被篡改。

原理以下：

• 服务端提供一个签名生成算法secret
• 根据方法生成签名secret(wall)=34Yult8i
• 将生成的签名放入对应的Cookie项username=wall|34Yult8i。其中，内容和签名用|隔开。
• 服务端根据接收到的内容和签名，校验内容是否被篡改。

举个栗子：

好比服务器接收到请求中的Cookie项username=pony|34Yult8i，而后使用签名生成算法secret(pony)=666。
算法获得的签名666和请求中数据的签名不一致，则证实数据被篡改。

4、敏感数据的保护

鉴于Cookie的安全性隐患，敏感数据都应避免存储在Cookie。
应该根据SessionID，将敏感数据存储在后端。取数据时，根据SessionID去后端服务器获取便可。
另外，对一些重要的Cookie项，应该生成对应的签名，来防止被恶意篡改。