Oauth2訪問令牌安全問題+ angular 2

Question

我在本地存儲中存儲來自google oauth2的訪問令牌。現在，問題是，這是一個安全問題。另一個人可以從我的瀏覽器複製本地存儲值並輸入網址來訪問我的帳戶。我們如何解決這個問題，因爲訪問令牌通常只存儲在本地或會話存儲中。我們可以給註銷後說60分鐘，這樣的：

this.expiresTimerId = setTimeout(() => { 
      console.log('Session has expired'); 
      this.doLogout(440); 
     }, 3600); 

但是，存在60分鐘，這可能導致安全漏洞的漏洞。如何避免這種情況？

Answer 1

我不知道任何簡單的方法來保護訪問令牌，以防「別人來我的電腦並誤用我的開放會話」攻擊（訪問令牌用於綁定到客戶端IP地址）。

您可以通過使用sessionStorage而不是localStorage來改善情況 - 當瀏覽器選項卡關閉時，它會刪除其值。

爲了防止攻擊者造成任何傷害，所有執行數據更改或顯示敏感數據的操作都必須以與在線銀行系統用來執行操作類似的方式重新進行身份驗證。