クッキーに保存されている暗号化されたユーザー名/パスワードの自動ログインと比較すると、サーバー生成トークンによる自動ログインのメリットは何ですか?ブラウザでトークンセキュリティを改善する方法は何ですか? (手段ストアOS、場所など)トークンvsユーザー名/パスワードautologin
UPDATE: PLSは説明の状況は、我々はOAuthのが必要なのでしょしますか?
クッキーに保存されている暗号化されたユーザー名/パスワードの自動ログインと比較すると、サーバー生成トークンによる自動ログインのメリットは何ですか?ブラウザでトークンセキュリティを改善する方法は何ですか? (手段ストアOS、場所など)トークンvsユーザー名/パスワードautologin
UPDATE: PLSは説明の状況は、我々はOAuthのが必要なのでしょしますか?
サーバーで生成されたトークンは、その元に戻すことができます。これにより、シンプルなユーザー名とパスワードを使用するよりも、包括的なセキュリティタスクとユーザー管理を行うことができます。
たとえば、トークンは、保存されたユーザー名/パスワードによるログインができない一定の期間が経過した後に期限切れになることがあります。
暗号化されたデータを復号化するリスクがあります。それとは逆に、サーバーが生成したトークンから何も取得できません。
これらの手法を使用するには、システムのセキュリティ管理のレベルが低くても高くてもかまいません。低い脅威がある場合は、システムを丈夫で重くするか、シンプルで軽くすることができます。
しかし、主なリスクは、誰かがあなたのトークン(またはユーザー名/パスワード)をCookieから盗むということです。この脅威のために、彼らは同等に安全ですよね? –
あなたのクッキーから情報を盗む唯一の方法は、物理的にまたはセッションのハイジャックによってコンピュータにアクセスすることです。セッションのハイジャックはエンドツーエンドのHTTPS暗号化によって防止できます。ここでの鍵は、誰かがあなたのパスワードを盗んだ場合、あなたがパスワードを変更するまで彼がいることです。しかし、誰かがあなたのトークンを盗むならば、彼はサーバーが期限切れになると判断するまでしか入っていません。 –
トークンは有効期限が切れ、認証が解除される可能性があります。 AKAはどこにでも署名し、すべてのユーザートークンを単純に削除します。 – epascarello
1)暗号化されたデータを*復号化することができます。無意味なトークンはできません。 2)サーバによって管理されるトークンは、サーバによって個別に追跡され*無効化される*ことができます。 1つのグローバルな資格情報セットではできません。 – deceze