Q

使用加密的令牌嗎？基於令牌

2016-01-22 81 views 1 likes

1

對於API認證：什麼是明智的做法：使用加密的令牌嗎？基於令牌

在保存加密或不加密的dabase令牌？
對於身份驗證：找到基於令牌的用戶（僅當令牌被存儲在數據庫中未加密）或基於例如用戶的電子郵件地址？

我發現了幾個似乎存儲未加密標記的源，然後在身份驗證中根據API請求收到的標記找到用戶。這似乎有點不安全給我，從那以後後端對搜索請求中包含令牌的基礎上，整個User表，而不管是哪個用戶具有令牌（所以有人可能只是嘗試了許多標記）。同時我不知道是否有必要加密令牌。

2016-01-22 Nick

A

回答

1

我把它當作一個密碼 - 加密。

然後，當用戶連接時，請查找指定的用戶，您加密提供令牌和該用戶的結果進行比較。

主要原因是，當你被黑客入侵時，你不必在恢復時立即重置每個人的受損標記，你應該有更多的時間..因爲黑客無法訪問他們的標記。如果你的令牌被醃了，可能永遠不會。

不，我主張不進行重置令牌！就在這一刻，這是一個不那麼直接的問題。

2016-01-22 15:33:31 Tim

相關問題

11. 如何使用authenticate指令執行基於令牌的認證？
12. ：'{'令牌''''，'，';'，'asm'或'__attribute__''{'令牌
13. 格紋訪問令牌是祕密嗎？
14. 用於webservices的SAML令牌
15. 基於令牌的授權Web API
16. 基於令牌的認證6
17. 基於Jmeter令牌的授權機制
18. 流明 - 非基於令牌的保證？
19. 基於IP的Django令牌授權
20. 基於角色的令牌ASP.net身份
21. 基於Cognito令牌的AWS節流
22. 基於令牌的Node/Express驗證
23. 基於令牌的Web服務安全
24. 基於令牌的會話管理
25. 基於令牌的文件處理
26. 基於令牌的wcf限制
27. Spring STOMP基於令牌的安全性
28. 基於令牌的認證與角
29. 基於令牌的網站登錄？
30. 生成加密的安全令牌