Q

AEM CSRF認證/保護框架是無狀態的嗎？

2017-04-25 21 views 0 likes

0

如果否，這些CSRF生成的令牌在以下位置存儲在應用程序堆中的JCR存儲庫或對象中？另外它如何驗證收到的令牌在很高的水平？AEM CSRF認證/保護框架是無狀態的嗎？

如果是，這是不是一個可伸縮性問題？

我試圖按照這些鏈接：https://tools.ietf.org/html/draft-ietf-oauth-json-web-token-16#section-7 & https://tools.ietf.org/html/draft-ietf-jose-json-web-signature-41#appendix-A.4.2和好像他們使用一種公共 - 私有密鑰的，與用戶，用戶代理和其它信息一起建立一個密鑰對和簽名，並驗證它以類似的方式，令牌在某種意義上被解密，但不完全匹配另一個存儲的令牌。但不確定，因此這個問題。

2017-04-25 Quantum entnagled

A

回答

2

簡短的回答：是的AEM CSRF認證/保護框架是無狀態的。

詳細

的令牌不持久，所有的信息是在使用Symmetric Algorithm加密的令牌。只要所有實例共享相同的加密密鑰，任何實例都可以解密和解碼集羣內發佈的CSRF令牌。關於此的更多詳細信息可在官方CSRF documentation中找到。

2017-04-26 13:14:43

相關問題

1. csrf的保護
2. Phoenix和CSRF的CSRF保護
3. 帶有Slim框架的PHP RESTful Webservice，認證需要還是反對無狀態？
4. csrf保護
5. API CSRF保護
6. CSRF保護ExpressJS
7. 靜態頁面上的CSRF保護
8. Laravel工匠與csrf保護和認證問題
9. Codeigniter csrf保護沒有表單驗證
10. 這對於CSRF保護足夠了嗎？