Javascript 令牌与用户名/密码自动登录
与使用存储在cookie中的加密用户名/密码的autologin相比,使用服务器生成的令牌进行autologin有什么好处?有哪些方法可以提高浏览器上的令牌安全性?(指商店操作系统、位置等)Javascript 令牌与用户名/密码自动登录,javascript,security,cookies,token,Javascript,Security,Cookies,Token,与使用存储在cookie中的加密用户名/密码的autologin相比,使用服务器生成的令牌进行autologin有什么好处?有哪些方法可以提高浏览器上的令牌安全性?(指商店操作系统、位置等) 更新:请描述在哪些情况下我们需要oAuth?服务器生成的令牌可以追溯到其来源。这使系统能够执行比使用简单用户名和密码更全面的安全任务和用户管理 例如,令牌可以在一段时间后决定过期,而通过保存的用户名/密码进行的登录无法在这段时间内过期 存在加密数据可能被解密的风险。相反,从服务器生成的令牌中不能得到任何东
更新:请描述在哪些情况下我们需要oAuth?服务器生成的令牌可以追溯到其来源。这使系统能够执行比使用简单用户名和密码更全面的安全任务和用户管理 例如,令牌可以在一段时间后决定过期,而通过保存的用户名/密码进行的登录无法在这段时间内过期 存在加密数据可能被解密的风险。相反,从服务器生成的令牌中不能得到任何东西
只有在系统的安全管理中要求低或高时,才需要使用这些技术。你可以让你的系统变得坚固而沉重,或者简单而轻巧,如果威胁很小的话 令牌可以过期并被取消授权。AKA在任何地方签出我,只需删除所有用户的令牌。1)加密的数据可以解密;没有意义的代币是不可能存在的。2) 服务器管理的令牌可由服务器单独跟踪和失效;一组全局凭据不能。但主要风险是有人会从Cookie中窃取您的令牌(或用户名/密码)。对于这种威胁,它们同样安全,对吗?从cookie中窃取信息的唯一方法是物理访问计算机或通过会话劫持。会话劫持可以通过端到端HTTPS加密来防止。这里的关键是,如果有人设法窃取了你的密码,他将一直在,直到你更改密码。但若有人偷了你们的代币,那个么他只会在服务器决定该代币过期之前出现。