Professional Documents
Culture Documents
تأمين الجلسة
تأمين الجلسة
تأمين الجلسة يلعب دورا مهما في بناء تطبيقات ويب أمنة ،ال يعد تطبيق الويب أمنًا ان لم
يتم حمايته من الهجمات الخارجية مثل XSSألن تلك السكريبتات الخبيثة مصممة للوصول
للبيانات الحساسة مثل الكوكيز و تعمل كمفتاح لتخزين ال tokens
المخترقين يستطيعون االستغالل والوصول الغير المصرح به للتطبيق البنكي بسبب
الممارسات الغير سليمة للمصادقة والتفويض.
ما هي الجلسة؟
بدايًة يوصف بروتوكول ال httpأنه بروتوكول statelessهذا يعني أن السيرفر يعالج كل
طلب من ال clientبشكل مستق لعم الطلبات األخرى أي أن السيرفر ال يحتفظ بأية معلومات
حول الطلبات السابقة المرسلة من العميل ذاته أي السيرفر يعالج كل طلب httpيستقبله
دون أي معرفة بالطلبات السابقة
لذلك تستخدم sessionsوال tokensللتغلب على طبيعة ال statelessلبروتوكول ال
httpوبطريقة ما اذا استولى المخترقون على الكوكيز وبذلك يستطيعون تزييف هويتهم
واستخالص معلومات المستخدمين الحساسة
أنواع المصادقة:
Session based authentication:
معرف الجلسة session idيتم انشائه من جهة الخادم لتمييز كل ،user loginان معرف
الجلسة يتم ارساله للمتصفح ،يتم تخزينه ضمن الكوكي في المتصفح ،وعندما يقوم
المستخدم بتسجيل الدخول فأن الكوكي سوف ترسل مع كل طلب
;Cookie: Session_Id=bhbsbdljfbsjkd9784a49hjihfgkdh4iuhuihnh43i65743
كيف تتم عملية التحقق:
يقوم المستخدم بتسجيل الدخول باستخدام اسم المستخدم وكلمة المرور
السيرفر يتحقق من ال credentialsويقوم بانشاء ال sessionمع session id
يتم ارسال ال session idالى اليوزر ضمن ال cookie
في الطلبات التالية يتم ارسال ال session idلدى المستخدم ويتم مقارنتها مع ال
session idالمخزنة عند العميل وفي حال التطابق يتم اعتبارهأ validويتم معالجة الطلب
في حال قام اليوزر بتسجيل الخروج من التطبيق عندها يتم الغاء الجلسة لدى كال الطرفين