Authentication 基于令牌认证的安全性
我对基于令牌的身份验证的理解是,在进行身份验证(可能是通过ssl)时,令牌会传递给用户,以便进行廉价的动态用户验证。其中一个实现是生成一个cookie,传递给用户进行会话管理 <>但是,我的理解是,基于令牌的AUTH(至少通过Cookie)对像FiReSeEP这样的中间攻击很敏感。Authentication 基于令牌认证的安全性,authentication,session-cookies,Authentication,Session Cookies,我对基于令牌的身份验证的理解是,在进行身份验证(可能是通过ssl)时,令牌会传递给用户,以便进行廉价的动态用户验证。其中一个实现是生成一个cookie,传递给用户进行会话管理 但是,我的理解是,基于令牌的AUTH(至少通过Cookie)对像FiReSeEP这样的中间攻击很敏感。 是否有其他的实现方法可以绕过这个主要的安全问题,或者我对tba有一个根本性的误解?您的理解很好。从根本上讲,就应用程序如何看待它而言,令牌也可以是用户名和密码。如果有人拥有令牌,他们可以向您的应用程序验证自己。http
是否有其他的实现方法可以绕过这个主要的安全问题,或者我对tba有一个根本性的误解?您的理解很好。从根本上讲,就应用程序如何看待它而言,令牌也可以是用户名和密码。如果有人拥有令牌,他们可以向您的应用程序验证自己。http cookie的主要用途是,如果有人通过跨站点脚本漏洞(XSS)或其他方式获取cookie,则避免泄漏用户名和密码。是的,在适当的情况下,他们可以作为“中间人”将该令牌“重放”到应用程序中,但他们不应该能够从中找出用户名/密码对,但如果令牌生成算法很弱,这也不能保证,比如,如果您决定对连接在一起的用户名和密码进行BASE64编码,并将其用作值 通常,您会在服务器端确保令牌->用户映射的安全。因此,归根结底,您的安全性都是基于确保令牌的安全性和确保其生命周期得到控制(例如,它将过期和/或仅当从原始凭据提供商使用的相同IP提供给您时才有效-同样,这只是一个示例) 希望这有帮助 -奥辛