ihmily 最的时间轴更新

ihmily

V2EX 第 655896 号会员，加入于 2023-10-23 13:49:08 +08:00

ihmily 提问技术话题好玩工作信息交易信息城市相关

StreamCap：支持 40+平台的开源直播录制工具

分享创造 ihmily 285 天前最后回复来自 LawlietZ

一个简易的多平台直播录制工具

分享创造 ihmily 2024-10-24 11:09:30 AM 最后回复来自 nzybwzy

ihmily 创建的更多主题

ihmily 最近回复了

13 天前

回复了 lynan 创建的主题旅行 12 月初去了一趟日本关西地区旅行，分享游记

这博客看的好舒服，排版很棒，写的很用心，照片拍的好！

15 天前

回复了 aaatches 创建的主题宽带症候群一直好奇在一些古老的网站会看到一堆下载按钮

@hackerwgf

>哎，曾经很骄傲可以从一堆下载中找到真实的下载按钮

死去的回忆突然攻击我 :)

18 天前

回复了 lusxh 创建的主题程序员同志们，技术问题来了，大家讨论下， jwt 续签为什么要使用双 token

另外, 双 token 比单 Token 也有利于日志分析：

检测到 access_token 异常 → 可能是网络攻击
检测到 refresh_token 异常 → 可能是账户被盗

场景 A：Access Token 被重复使用, 重放攻击
时间线：
T0: 用户请求 GET /workflows ，Access Token 在网络中传输
T1: 攻击者在网络中拦截到这个 Access Token
T2: 攻击者立即用这个 Access Token 发起请求
T3: 15 分钟内，Access Token 仍然有效 → 攻击成功

# 日志中看到：
- 同一个 Access Token 来自不同 IP
- 同一个 Access Token 在短时间内高频使用
- User-Agent 不一致

影响范围：相对局部（只影响当前 token 时间窗口）

# 场景 B：Refresh Token 被重复使用
时间线：
T0: 用户登录，得到 RT_1 ，存储在 localStorage
T1: 攻击者通过某种方式窃取了 RT_1 （钓鱼、数据库泄露、恶意软件等）
T2: 用户的浏览器自动刷新，用 RT_1 → 得到 RT_2 ，RT_1 进黑名单
T3: 攻击者尝试用 RT_1 刷新 → 触发第 133-135 行的检测

而如果是单 token ，则无法区分是哪种场景导致的黑名单 Token 被重复使用

单 Token 重复使用的多种可能性. 有可能是
1.并发刷新（正常行为）
用户打开页面，5 个 API 同时发起：
──────────────────────────────────────
T0: 5 个请求都带着过期的 token_v1
T1: 5 个请求都返回 401
T2: 5 个响应拦截器同时触发刷新
- 请求 1: POST /refresh { token: token_v1 } → 成功，返回 token_v2 ，token_v1 进黑名单
- 请求 2: POST /refresh { token: token_v1 } → 黑名单检测触发
- 请求 3-10: 同样被拒绝

2.多 Tab/多窗口（正常行为）
用户同时打开多个 Tab：
──────────────────────────────────────
Tab A: 用户正在浏览，token 刚好过期
Tab B: 用户也在操作，同一个 token 过期

Tab A 先刷新：
POST /refresh { token: token_v1 } → 成功，token_v1 进黑名单
localStorage.setItem('token', token_v2)

Tab B 延迟几秒刷新（还没来得及读取新 token ）：
POST /refresh { token: token_v1 } → 黑名单检测触发

# 后端日志：
# 以上问题检测到 token_v1 被重复使用，但不能确定是不是网络攻击！

3.账户被盗（异常行为
真正的攻击场景：
──────────────────────────────────────
T0: 攻击者窃取了 token_v1
T1: 合法用户刷新：POST /refresh { token: token_v1 } → token_v2 ，token_v1 进黑名单
2: 攻击者尝试刷新：POST /refresh { token: token_v1 } → 黑名单检测触发

# 后端日志：
# 检测到 token_v1 被重复使用
# 这次是真的攻击！

18 天前

回复了 lusxh 创建的主题程序员同志们，技术问题来了，大家讨论下， jwt 续签为什么要使用双 token

问题 1：

单 Token 方案：同一个 token 既用于访问又用于刷新

问题场景：
用户在 Tab A 刷新了 token ，得到 token_v2
用户在 Tab B 仍然持有 token_v1
Tab B 的请求会失败（因为 token_v1 已在黑名单），无法刷新
需要复杂的跨 Tab 同步机制

问题 2：
单 Access Token 的暴露场景：
每个 API 请求的 HTTP Header 中
浏览器开发者工具的 Network 面板
可能被记录在服务器日志中
可能通过中间代理服务器
如果有 XSS 漏洞，容易被窃取

假设你每天发送 1000 个请求 → Access Token 暴露了 1000 次，用作刷新 token 不安全

而双 token 中 Refresh Token 仅在以下情况使用：
Access Token 过期时（比如每 8 小时一次）
只发送到特定的刷新接口
不会出现在普通业务请求中

虽然 Refresh Token 也有被窃取的风险，但是风险小很多

23 天前

回复了 dddddddy 创建的主题 Local LLM 想自己搞个量化投资模型，怎么解决训练资源的问题？

云 GPU 可以试试 Autodl: https://www.autodl.com/

35 天前

回复了 a134698815 创建的主题生活 2025 年 12 月了，一年又见底了，大家都过得怎样呢？

12 月了，一年又见底了，大家都过得怎样呢？

2025： t/1176131
2024： t/1094197
2023： t/996699

顺便回顾了一下往年帖子，算是每年的年终总结吗，我认为是很有意思的记录。

69 天前

回复了 userKamtao 创建的主题生活误入包养圈，陷入了人生的大思考。

这种人和事情太多了，只是我们生活中一般接触不到，对于正常人来说等于是误入圈子了。

大部分人刚接触到这种自己三观以外的人和事物后，通常都是会先感到震惊，然后引发对人和事的思考。

102 天前

回复了 python30 创建的主题程序员你们采集夸克网站是用夸克网盘的接口 api 里面的这个 stoken 不知道怎么得到

给你一个参考： https://github.com/ihmily/QuarkPanTool/blob/main/quark.py

120 天前

回复了 cmdOptionKana 创建的主题分享发现 Grok 的图片生成功能太强了，我有点忍不住想付费了

@cmdOptionKana

>我搜索了一下 comfyUI 美女图，没有找到特别好的作品，你们是在哪里看到 comfyUI 的优秀图片的？我想去看看

https://www.liblib.art/

ihmily 创建的更多回复