2
我開發了一個應用程序,包括一個web後端,提供通過電子郵件和密碼或通過令牌登錄的方法。當通過電子郵件登錄時,服務器將在用戶記錄中存儲一個令牌,該令牌在30天后纔會出現。這個令牌隨後可以用於自動登錄,而無需每次都輸入電子郵件和密碼。至少30天。登錄令牌應該過期嗎?
現在我的問題:是否真的有必要令牌過期?如果是這樣,爲什麼?
再見
A
回答
5
1
這取決於您的應用程序的安全要求。記住有人登錄到應用程序後,其他人可以前來登錄並使用爲原始用戶創建的令牌登錄。
相關問題
- 1. 流星登錄令牌過期
- 2. 令牌認證登出:我應該刪除令牌嗎?
- 3. 我應該在ID登錄中持久存儲ID令牌嗎?
- 4. 應用程序登錄訪問令牌是否過期?
- 5. Gitlab:docker通過令牌登錄失敗
- 6. 我應該如何根據令牌登錄用戶?
- 7. 訪問令牌應該放在哪裏才能成功登錄?
- 8. 登錄令牌過期後iOS Firebase同步失效
- 9. 當Angular 4中的令牌過期時進行無聲登錄?
- 10. 用戶登錄時過期的舊JWT令牌
- 11. 指定的令牌在Vtiger中無效或過期登錄
- 12. 令牌應該每次都改變嗎?
- 13. 應該加密jwt Web令牌嗎?
- 14. 當APNS令牌過期了嗎? iOS /推
- 15. 是Access令牌過期了嗎?
- 16. Facebook應用令牌仍然有效\用戶令牌過期後可用嗎?
- 17. 用令牌登錄php curl
- 18. Ember js登錄無令牌
- 19. Docker登錄驗證令牌
- 20. SAPUI5和登錄令牌/ SSO?
- 21. 使用sha256登錄令牌
- 22. WCF過期令牌?
- 23. CSRF令牌應該經過服務器端驗證嗎?
- 24. Twitter應用程序令牌過期
- 25. 我應該允許多次登錄嗎?
- 26. Paypal令牌已過期
- 27. gcm的過期令牌
- 28. 令牌驗證和過期
- 29. 無國籍令牌過期
- 30. AWS Cognito SDK令牌過期
我不同意安全的答案。我認爲防止會話劫持的最佳做法是HTTPS。如果您不能使用HTTPS(爲什麼?),則應使用通過安全通道共享的PK密鑰對或共享密鑰對密碼進行加密簽名。任何一種方法都可以防止會話劫持(除了後一種情況下的精確重播攻擊)而無需令牌到期,因爲令牌不會首先通過線路發送,因此實際上不會受到影響(除非端點受到攻擊,但那麼你就沒有真正的安全性,而且都是沒有意義的)。 – dgatwood
即使您使用的是HTTPS,您仍然應該在_some point_處將令牌過期,因爲您希望最小化受損客戶端端點的影響。任何有權訪問該設備的人都可以進行身份驗證,而且這種情況發生的頻率可能比您想象的要高,尤其是在使用筆記本電腦,平板電腦和手機時,因爲這些設備更容易被盜用。 – Optimae