Session 会话令牌安全解析.com
在过去的几个月里,我一直在基于Parse构建一个应用程序(ios和web应用程序),只是刚刚发现了它们的会话令牌是如何工作的。这是我到目前为止学到的:Session 会话令牌安全解析.com,session,parse-platform,token,Session,Parse Platform,Token,在过去的几个月里,我一直在基于Parse构建一个应用程序(ios和web应用程序),只是刚刚发现了它们的会话令牌是如何工作的。这是我到目前为止学到的: 每个用户都有自己的会话令牌 令牌用于在向服务器发出请求时替换用户凭据(用于身份验证) 令牌永远不会更改(即使在重置密码时),也永远不会过期 登录时,令牌存储在客户端本地 用户可以使用Parse.User.been(sessiontoken,options)方法登录,只需会话令牌 这对我来说似乎很不安全,还是我错过了什么?似乎任何人都能获得此令
- 每个用户都有自己的会话令牌
- 令牌用于在向服务器发出请求时替换用户凭据(用于身份验证)
- 令牌永远不会更改(即使在重置密码时),也永远不会过期
- 登录时,令牌存储在客户端本地
- 用户可以使用Parse.User.been(sessiontoken,options)方法登录,只需会话令牌
Mario我还仔细检查了restapi和Android客户端返回的会话令牌。是一样的。即使我更改了密码 这无疑是一个潜在的安全问题。任何人的移动设备被盗,如果会话未加密且用户数据的安全性永远处于危险之中,黑客都可能获得会话令牌 因为黑客可以永远使用来自任何客户端的会话令牌。你永远不会知道黑客什么时候会作恶。 我非常关注这个问题。希望有人能解决这个问题 PS:你好,马里奥,我在Facebook开发者平台上记录了一个问题
希望有人能跟踪并最终解决它。看起来他们刚刚更新了系统,使用了可撤销的用户会话。好一个
如果令牌真的以这种方式工作,那么是的-它看起来非常不安全;想想你使用的网络应用程序,其中cookie的功能几乎相同??你可以在解析服务器配置中使用RevokeSessionnPasswordReset选项。你可以编辑这篇文章以重定向到你正在进行的讨论,我会接受它作为答案。谢谢看起来用户“会话令牌”实际上是Parse中用户记录的数据库ID。如果是这样的话,问题不在于它永远不会改变,而在于你可以成为没有任何身份验证障碍的用户。