Security 使用其他提供商身份验证服务(如Soundcloud)时令牌身份验证中的安全性?
用户通过Soundcloud Connect按钮登录过程Security 使用其他提供商身份验证服务(如Soundcloud)时令牌身份验证中的安全性?,security,authentication,soundcloud,session-storage,http-token-authentication,Security,Authentication,Soundcloud,Session Storage,Http Token Authentication,用户通过Soundcloud Connect按钮登录过程 按下网站上的按钮,使用api服务器生成的随机令牌启动会话,而无需对Soundcloud上的用户进行身份验证 用户被重定向到Soundcloud身份验证页面(Soundcloud登录页面) 用户应输入他/她的Soundcloud帐户信息 按下connect后,api端调用一个方法,根据SoundCloud发送的参数创建用户及其身份验证。api服务器将用户重定向到主页,clientside中的脚本将令牌设置为标题,作为对网站的授权 现在,我关
这种验证用户身份的技术是否安全?潜在的攻击是什么?这种方法会使您容易受到会话固定的攻击 攻击场景如下所示:
虽然这种攻击并不十分常见,但在野外看来,标准程序是在任何身份验证发生后始终发出新的会话密钥。此问题更适合: