localStorage使用多個令牌自動登錄

Question

我正在開發一個Phonegap移動應用程序並使用戶能夠在localStorage上的令牌與數據庫中的某行匹配時自動登錄。在每次登錄或更新時，用戶都會收到一個新的自動登錄令牌並將其存儲在本地。

作爲更高級別的保護，我想將令牌分成4個令牌：3個令牌包含令牌的一部分，而第4個令牌包含'代碼'。在後端，每個「代碼」將包含關於如何將3個令牌一起進行連接或解析的獨特指令。結果字符串然後將與數據庫行進行比較。

$token1 = $_POST['token1']; 
$token2 = $_POST['token2']; 
$token3 = $_POST['token3']; 
$token4 = $_POST['token4']; 

if ($token4 === '101') { 
    // Just a quick example 
    $requestToken = $token3 . $token1 . $token2; 
} 

這是一個愚蠢的實現，以提高我的應用程序的安全性？

Answer 1

這樣做沒有多大意義。所有的代幣都會以同樣的方式受到保護，所以攻擊者可以一口咬住所有的代幣。此外，特別是在移動應用程序相對易於反編譯的情況下（但即使不太容易），攻擊者也可以通過合理的資源瞭解原材料是如何工作的。

所以對我來說，有點不清楚你試圖達到什麼目的，或者你想保護什麼樣的威脅。它似乎是security by obscurity，應該避免。