0
私は、FacebookやTwitterなどの多くのWebサイトで認証を受けた後、2〜3か月、おそらく1年という長い時間ログに記録されていることに気付きました。長い認証セッションとセキュリティ
私の質問は、これは安全ですか?あるいは、彼らは何とかセッションidを時間とともに変更するでしょうか?
A
答えて
0
一部のWebサイトではセッションデータを含むセッションCookieを使用していますが、バックエンドにしか見えない秘密鍵で大きく暗号化されています。他のいくつかのWebサイトではトークンを使用しているため、基本的にアクセストークンを使用してコンテンツにアクセスできます。アクセストークンは短期間のみ有効です。次に、あなたの短期間のアクセストークンをリフレッシュするために長期間有効な更新トークンを取得しました。これらのトークンは、サイト間のjavascriptおよびlocalstorageによって簡単に取得できるため、cookieとしてではなく、localstorageアイテムとして保存する必要があります現在のサイトでのみ利用可能です。
関連する問題
- 1. ASP.NET認証とセッションによるセキュリティ
- 2. セッション認証のためのSpringセキュリティのベストプラクティスとは
- 3. Springセキュリティ認証
- 4. クライアントサーバーのセキュリティと認証
- 5. Djangoのリモートユーザ認証とセキュリティ
- 6. 認証トークン - セッション認証
- 7. Springセキュリティによる認可と認証
- 8. セッション[:user_id]を使ったRails認証のセキュリティ
- 9. 毎分春のセキュリティ認証(セッションを終了せずに)
- 10. Apache2 LDAP認証セキュリティ
- 11. トークンベース認証のセキュリティ
- 12. tapestry shiroセキュリティ認証
- 13. 春のセキュリティ認証
- 14. Spring 3.0セキュリティ - 認証による認証
- 15. 春:セキュリティの注釈同等:認証マネージャとセキュリティ:グローバル・メソッド・セキュリティ
- 16. mvc4 webapiとコントローラのセキュリティ(認証と認証)
- 17. PHP APIの認証とセッション
- 18. フェデレーション認証とセッション管理
- 19. ウェブページの認証とセッション
- 20. ASP.NET MVC3認証とセッション
- 21. ブラウザのセッションを保証しないRailsの認証と承認?
- 22. PHPセッションとセキュリティ
- 23. Socket.IOセッション認証
- 24. セッション/認証ループ
- 25. スチーム認証セッション
- 26. Springセキュリティによる基本認証とフォームベースの認証Javaconfig
- 27. セッションIDの検証 - セキュリティ - Ionic/Angular
- 28. SproutCoreのセキュリティと認証の問題
- 29. 春のセキュリティとカスタムWS認証
- 30. CakePHP - セキュリティ::ハッシュ()と異なる認証ハッシュパスワード