ログイン インターフェイスをリクエストした後、インターフェイスから返された秘密キーを Cookie に保存しても安全ですか? Cookie 内の秘密キーを取得した場合、インターフェイスは自由に呼び出すことができます。
过去多啦不再A梦2017-05-16 13:04:05
モバイルアプリについて話しているのですか?通常、これにはセッションは必要ありません。ログイン時に、アプリはこのトークンを他のインターフェイスの認証として使用します。このトークンは、フロントエンドとバックエンドの暗号化検証方法に同意できます。
安全性の問題を考慮する場合:
他の人はまず、トークン値がいつ返されたかを知る必要があり、それからパケットをキャプチャする必要があります。次に、バックエンド インターフェイス URL に https を使用することを検討して、他のユーザーがパケットをキャプチャしても何もキャプチャできないようにします。
第 2 に、返されるトークンは RSA 秘密キーで暗号化されたトークンを返すことができ、アプリは公開キー復号化トークンを保存し、後続のトークンまたはその他の機密パラメーターを RSA で暗号化できます。 あなたの公開キーがなければ、他の人は暗号化または復号化できません。
他の人がアプリを逆コンパイルし、コードに保存したトークンを見つけたとします。その場合、検証のために追加のパラメーター st を渡すこともできます。これは簡単です。すべてのパラメーターをアルファベット順に並べ、トランスコード、md5、値を取得します。そしてそれを渡します。パラメータを受け入れた後、バックグラウンドは同じことを実行して st の値を比較します。矛盾している場合は変更されたとみなされ、バックグラウンドは不正なパラメータ プロンプトを返します。
1つのアプリに1つの公開鍵を設定することもでき(いわゆる1マシン、1シークレット)、バックグラウンドでアプリ側の公開鍵を随時更新できます。 このようにして、検証ルールと RSA 公開キーが他の人に知られている場合でも、他の人は損失を最小限に抑えるためにこの携帯電話上のアプリを操作することしかできません。
——————————————
JavaScript について話していることに気づきませんでしたが、JavaScript はこの方法でも実装できます。
滿天的星座2017-05-16 13:04:05
トークンにはログイン情報、IPアドレス、ログイン時間など、および一連の変更が含まれていると想像できますが、トークンには独自の有効期限があり、期限が切れると使用できなくなりますので、依然として非常に安全です
