Ma compréhension de l'authentification basée sur les jetons est que, lors de l'authentification (peut-être via ssl), un jeton est transmis à l'utilisateur pour une vérification utilisateur bon marché à la volée. Une implémentation de ceci serait de générer un cookie qui est passé à l'utilisateur pour la gestion de session. Mais, d'après ce que je comprends, l'authentification basée sur les jetons (au moins à travers les cookies) est sensible à l'homme dans les attaques du milieu comme le tire-feu. Y a-t-il d'autres méthodes de mise en œuvre qui contournent ce problème de sécurité majeur, ou ai-je une incompréhension fondamentale de tba?Sécurité de l'authentification basée sur jeton
Répondre
Votre compréhension est bonne. Fondamentalement, en termes de la façon dont l'application voit, un jeton peut aussi bien être un nom d'utilisateur et un mot de passe. Si quelqu'un a le jeton, il peut s'authentifier auprès de votre application. Dans le cas d'un cookie http, l'objectif principal est d'éviter la fuite du nom d'utilisateur et du mot de passe si quelqu'un obtient le cookie à l'aide d'une vulnérabilité de script intersite (XSS) ou autre. Oui, étant donné les bonnes circonstances, ils peuvent "rejouer" ce jeton à l'application en tant qu '"homme au milieu" mais ils ne devraient pas être en mesure de comprendre le nom d'utilisateur/mot de passe, mais cela n'est pas garanti si le jeton L'algorithme de génération est faible, disons, comme si vous décidiez de coder BASE64 le nom d'utilisateur et mot de passe concaténés ensemble et l'utiliser comme valeur.
Généralement, vous conservez le jeton -> mappage utilisateur sécurisé côté serveur. En fin de compte, votre sécurité est basée sur la sécurité du jeton et sur le contrôle de sa durée de vie (par exemple, il expire et/ou n'est valide que s'il vous est fourni par la même adresse IP que celle utilisée par le fournisseur d'origine). juste un exemple)
Hope this helps,
-Oisin
- 1. Sécurité WebService basée sur SOAP
- 2. OAuth jeton de sécurité
- 3. Jeton de sécurité Salesforce
- 4. Sécurité de jeton d'authentification
- 5. Sécurité basée sur le module
- 6. Sécurité basée sur un jeton IIS, certificat ssl et https, proxy
- 7. Expiration du jeton de sécurité
- 8. WCF: Service d'authentification ou sécurité basée sur les jetons?
- 9. SSRS 2005 Sécurité basée sur les paramètres
- 10. Sécurité basée sur les rôles asp.net mvc
- 11. Sécurité basée sur les rôles avec asp.net
- 12. Manipulation de chaîne de caractères basée sur le jeton
- 13. Service de jeton de sécurité wcf sur https
- 14. L'authentification basée jeton sécurisé lorsque
- 15. Erreur de jeton de sécurité C# 3242
- 16. Problème de sécurité du jeton Trello?
- 17. URL basée sur les rôles de sécurité de printemps
- 18. Sécurité basée sur les rôles sur la DLL
- 19. Implémentation de sécurité basée sur les rôles dans LDAP
- 20. Sécurité Webapp basée sur le propriétaire de l'enregistrement
- 21. Motif de l'usine pour la sécurité basée sur les rôles
- 22. Sécurité basée sur le rôle de l'application Web ASP.NET
- 23. Configuration de la sécurité du ressort basée sur le code
- 24. Sécurité Spring MVC basée sur l'attribut de session
- 25. Comment fonctionne exactement la sécurité basée sur les fragments de hachage?
- 26. Sécurité ASP.Net à l'aide de la sécurité basée sur les opérations
- 27. Spring Authentification basée sur la sécurité pour un service REST
- 28. Implémentation d'attributs personnalisés pour la sécurité basée sur les revendications
- 29. Automatisation Microsoft Access 2010 (mdb) avec sécurité basée sur l'utilisateur
- 30. Solution complexe pour maintenir la sécurité basée sur les rôles
Grand, grâce Oisin. – Devin