6
我對基於令牌的身份驗證的理解是,通過身份驗證(可能通過ssl),令牌傳遞給用戶以便即時進行廉價的用戶驗證。一個這樣做的實現是生成一個傳遞給用戶進行會話管理的cookie。基於令牌的身份驗證的安全性
但是,我的理解是基於令牌的身份驗證(至少通過cookie)容易受到像firesheep這樣的中間人攻擊。
是否有其他避開這個重大安全問題的實施方法,還是對tba有根本性的誤解?
A
回答
10
你的理解很好。基本上,就應用程序如何看待它而言,令牌可能也是用戶名和密碼。如果有人擁有令牌,他們可以向自己的應用程序驗證自己的身份。對於http cookie,主要目的是爲了避免某人通過跨站點腳本漏洞(XSS)或其他方式獲取cookie時泄露用戶名和密碼。是的,在正確的情況下,他們可以將該令牌「重放」給應用程序,作爲「中間人」,但他們不應該能夠從中找出用戶名/密碼配對,但如果令牌生成算法很弱,比如說,如果您決定將BASE64編碼的用戶名和密碼連接在一起並將其用作值。
通常你在服務器端保持令牌 - >用戶映射的安全。因此,最終你的安全是基於確保令牌安全並確保它的生命週期受到控制(例如,它只會在從與原始憑證提供者所使用的IP相同的IP給予您時纔有效 - 同樣,只是一個例子)
希望這有助於
-Oisin
相關問題
- 1. WCF:身份驗證服務或基於令牌的安全性?
- 2. 基於Spring MVC安全令牌的身份驗證
- 3. 基於角度令牌的基於身份驗證的驗證
- 4. 身份驗證令牌安全
- 5. 保護基於令牌的身份驗證系統的令牌
- 6. Facebook - 身份驗證令牌的安全性?
- 7. LogiXML安全性 - 基本身份驗證
- 8. 彈簧安全性帶有令牌授權的基本身份驗證
- 9. 在基於令牌的身份驗證中,令牌如何驗證?
- 10. 身份服務器4沒有安全令牌驗證器可用於令牌
- 11. 基於會話的身份驗證或基於令牌的身份驗證哪一個使用?
- 12. 如何禁用基於表單的身份驗證並在jasper中啓用基於令牌的身份驗證
- 13. API的安全客戶端令牌身份驗證
- 14. 網站的安全/身份驗證令牌
- 15. 使用ADFS的基於令牌的身份驗證
- 16. SockJS/STOMP Web Socket的Spring Security「基於令牌的身份驗證」
- 17. 使用Dapper micro-orm的基於令牌的身份驗證
- 18. 針對PHP的基於令牌的身份驗證
- 19. 基於令牌的身份驗證的REST API
- 20. 基於令牌的身份驗證的替代方法
- 21. CherryPy身份驗證令牌
- 22. Facebook身份驗證令牌
- 23. 身份驗證令牌
- 24. 與身份驗證令牌
- 25. Spring安全Javaconfig基本和基於表單的身份驗證
- 26. REST API基於令牌的身份驗證機制
- 27. 基於令牌的身份驗證爲ASPNET核心網絡API
- 28. Web2py基於JWT的身份驗證 - 刷新令牌
- 29. WCF中基於令牌的身份驗證
- 30. 基於WCF休息令牌的身份驗證
很好,謝謝[287]莪。 – Devin 2011-01-12 19:35:19