0
クッキーに保存されている暗号化されたユーザー名/パスワードの自動ログインと比較すると、サーバー生成トークンによる自動ログインのメリットは何ですか?ブラウザでトークンセキュリティを改善する方法は何ですか? (手段ストアOS、場所など)トークンvsユーザー名/パスワードautologin
UPDATE: PLSは説明の状況は、我々はOAuthのが必要なのでしょしますか?
A
答えて
2
サーバーで生成されたトークンは、その元に戻すことができます。これにより、シンプルなユーザー名とパスワードを使用するよりも、包括的なセキュリティタスクとユーザー管理を行うことができます。
たとえば、トークンは、保存されたユーザー名/パスワードによるログインができない一定の期間が経過した後に期限切れになることがあります。
暗号化されたデータを復号化するリスクがあります。それとは逆に、サーバーが生成したトークンから何も取得できません。
これらの手法を使用するには、システムのセキュリティ管理のレベルが低くても高くてもかまいません。低い脅威がある場合は、システムを丈夫で重くするか、シンプルで軽くすることができます。
+0
しかし、主なリスクは、誰かがあなたのトークン(またはユーザー名/パスワード)をCookieから盗むということです。この脅威のために、彼らは同等に安全ですよね? –
+0
あなたのクッキーから情報を盗む唯一の方法は、物理的にまたはセッションのハイジャックによってコンピュータにアクセスすることです。セッションのハイジャックはエンドツーエンドのHTTPS暗号化によって防止できます。ここでの鍵は、誰かがあなたのパスワードを盗んだ場合、あなたがパスワードを変更するまで彼がいることです。しかし、誰かがあなたのトークンを盗むならば、彼はサーバーが期限切れになると判断するまでしか入っていません。 –
関連する問題
- 1. ユーザー名とパスワードを使用してGoogle認証トークンを取得
- 2. IdentityServer3 - トークンに十分なユーザー名とパスワードがある場合
- 3. VB-ユーザー名とパスワード
- 4. ステートメントとユーザー名/パスワード
- 5. ユーザー名トークン検証エラー
- 6. OAuth2リクエストのユーザー名とパスワード
- 7. トレードのユーザー名とパスワード
- 8. レポートサービス2016(SSRS)は、ユーザー名/パスワード
- 9. Localhostプロンプトのユーザー名とパスワード
- 10. pythonプログラムのユーザー名とパスワード
- 11. GITのユーザー名とパスワード
- 12. Eclipse Workspaceのユーザー名とパスワード
- 13. Multyvacのユーザー名とパスワード
- 14. Activiti 5デフォルトのユーザー名/パスワード
- 15. Python 3.6のユーザー名とパスワード
- 16. FTPは、ユーザー名とパスワード
- 17. 角度4のユーザー名、パスワード、トークンで基本認証を使用する方法
- 18. Cherwell REST APIリクエストでトークン(ベアラ)をユーザー名、パスワードに置き換える方法
- 19. SonarLintは、ユーザー名とパスワードを使用して動作しますが、トークン
- 20. ShibbolethとAutologin
- 21. iPhoneアプリケーションAutologin
- 22. Access_Controlは、匿名トークンのユーザーが
- 23. クライアントの管理ユーザー名とパスワード
- 24. アイデンティティサーバーのWindowsとユーザー名のパスワード
- 25. Gmailのユーザー名とパスワードの認証
- 26. PHPのパスワードとユーザー名パターンのバリデーターmodefication
- 27. Androidアプリにユーザー名とパスワードを保存
- 28. C#Regex URLポートのユーザー名とパスワード
- 29. TFS GITドメインに接続\ユーザー名+パスワード
- 30. Redis - ユーザー名、パスワード、およびDB?
トークンは有効期限が切れ、認証が解除される可能性があります。 AKAはどこにでも署名し、すべてのユーザートークンを単純に削除します。 – epascarello
1)暗号化されたデータを*復号化することができます。無意味なトークンはできません。 2)サーバによって管理されるトークンは、サーバによって個別に追跡され*無効化される*ことができます。 1つのグローバルな資格情報セットではできません。 – deceze