我正在學習不同的 Oauth2 流程,但是它并沒有提供任何關于在不同場景中安全地堅持不同種類的訪問令牌的指導,而且我也無法通過 Google-fu 找到關于該主題的相關資訊。
我想知道在安全的前端背景關系中保存訪問令牌是否安全,例如 httpOnly cookie,并可選擇直接從瀏覽器呼叫 api,而無需通過應用服務器進行代理?
在我看來,這似乎更加安全,因為訪問令牌與密碼不同,不能被散列,恢復所有訪問令牌的方法(如果被加密)必須存在于服務器上,否則它將無法代表用戶呼叫服務。因此,如果應用服務器被破壞,那么所有用戶的訪問令牌也會被破壞。
我在這里是否遺漏了一些背景,或者是否正確?
uj5u.com熱心網友回復:
如果你考慮與一些用戶的用戶代理(瀏覽器)分享你自己的訪問令牌,那么這個解決方案永遠不會安全。用戶代理(瀏覽器)是完全代表用戶作業的東西。用戶,如果他愿意,可以訪問用戶代理操作的任何型別的資源。與用戶代理共享令牌就像與用戶本人共享令牌。
uj5u.com熱心網友回復:
無論你選擇哪種方法,你都需要確保你的后端驗證令牌(例如jwt)。
您可能不需要驗證安全 cookie,因為安全 cookie 不能被瀏覽器訪問/修改。
轉載請註明出處,本文鏈接:https://www.uj5u.com/yidong/315106.html
標籤:
上一篇:復雜的文本替換演算法或設計模式