Для чего используется Token?

Question

[aopil]

Подскажите, для чего используются Tokenы
типо такое:

<input type="hidden" name="token" value="ключ тут">

При post запросе передается этот параметр, но при этом, каждый раз при обновлении страницы - Token меняется.

Для чего вообще используют этот токен владельцы сайтов?

Answer 1

[Daria Motorina]

Межсайтовая подделка скриптов
Реализация на примере Laravel

Comments

[aopil]

Много заумного текста, сложно понять человеку не программисту))

Вопрос в том, если я буду использовать 1 и тот же токен для многих POSt запросов чем это черевато для меня? Хочу понять, есть ли смысл подставлять каждый раз токен который можно вытащить curl запросом.

[Mysterion]

aopil, при каждом запросе токен генерируется и кладется в сессию. Если запрос POST, то токен сверяется с сессионным. Если не совпадает - запрос режется.

[aopil]

Mysterion, не знаю, я отправляю запросы с токеном который генерировался дня 3 назад, да еще и IP разные, куки не сохраняю, и все запросы обрабатываются, значит админы сайта не сверяют токен?

[Saboteur]

aopil,

не знаю, я отправляю запросы с токеном который генерировался дня 3 назад, да еще и IP разные, куки не сохраняю, и все запросы обрабатываются, значит админы сайта не сверяют токен?

Если не совпадает - запрос режется.

Вы не видите разницу в логике?
Попробуйте отправить запрос с токеном, который вы выдумали из головы.
Или вы считаете, что токен очень легко перехватить?

[xmoonlight]

aopil,

не знаю, я отправляю запросы с токеном который генерировался дня 3 назад, да еще и IP разные, куки не сохраняю, и все запросы обрабатываются, значит админы сайта не сверяют токен?

Значит проверка токена на сайте не работает так, как должна.

[aopil]

xmoonlight, понял, спасибо

Answer 2

[xmoonlight]

В таком варианте, как Вы привели - используется обычно для защиты от примитивных спам-ботов.

Но правильно: токен должен привязываться к клиентскому устройству (браузеру) и иметь время устаревания, после которого его необходимо обновлять (с сервера, автоматически, через JS).
Токен удостоверяет пользователя вместе с устройством после успешного логона в течение всего времени действия сессии (если не произошло исключающих событий: параллельный вход, блокировка сессии со стороны сервера, неудачное авто-обновление/обмен токена и т.д.).

Если произошло закрытие сессии - пользователю пишется сообщение о том, что он должен предпринять, чтобы восстановить доступ.

Если токен и куки сессии будут похищены и повторно использованы на другом клиенте (или с другим IP), то это не поможет злоумышленнику войти в вашу учётную запись, т.к. его клиентское устройство ("отпечаток") будет уже другим: "чужим" для этого токена.

Javascript-бибилотека fingerprint2.js позволяет получить ID-клиента.

Comments

[aopil]

xmoonlight, остается всеравно непонятным как это работает)
В моей случай, я могу передавать рандомный токен и все работает, но видимо админы сайта сами упустили этот момент.

Хочу понять на будущее все же, если исправят эту систему, получается token генерируется для каждого пользователя, новый пользователь определяется чистыми куками и новым IP, верно? Опять же, какая трудность получить этот самый токен? обычным curl делаем запрос к сайту и сохраняем HTML и видим там токен, теперь могу передавать его куда нужно, другое дело если сделают генерацию токена через js - тогда с php тут будет сложнее, но всеравно можно как я понимаю)

[xmoonlight]

aopil,

Хочу понять на будущее все же, если исправят эту систему, получается token генерируется для каждого пользователя, новый пользователь определяется чистыми куками и новым IP, верно?

Не обязательно: всё зависит от логики, которую реализовали владельцы сайта (нужно смотреть по коду JS и по заголовкам пакетов от браузера к серверу и обратно).

Если создают токен через JS - Вы должны также через JS его получить, используя headless-браузеры, которые нужно будет вызвать из PHP (вместо cURL).