kotcich
@kotcich

Какой смысл в токенах авторизации, если их видно при передачи?

Ну то есть будь то headers или query параметры, не важно, если злоумышленник непосредственно получит доступ к токену после факта самой передачи, даже если он был при этом зашифрован, то значит этот набор символом валиден для использования, ведь на стороне сервера обрабатываться они будут определенным алгоритмом.
То есть если пользователь оставил компьютер и ушел на обед к примеру, можно же спокойно взять и скопировать этот зашифрованный токен, да и сам пользователь может это сделать и разослать его кому угодно. Ведь если отправляя этот набор символов он смог получить доступ, значит и другие смогут.
  • Вопрос задан
  • 255 просмотров
Решения вопроса 3
pro100chel
@pro100chel
Python && PHP Developer
Токен не видно при передаче. Или ты не знаешь про https?

Если юзверь идет на обед и не лочит комп - тут никакие системы защиты уже не спасут.

Если у тебя рефреш токен есть то хакер обменяет пару токенов и токены юзера станут заюзанными. Юзер использованный токен попытается заюзать если зайдет на сайт. Это как раз сигнал того что токены спи#дили и нужно сбросить все сессии этого пользователя.
Ответ написан
DevMan
@DevMan Куратор тега Веб-разработка
вопрос из разряда: зачем замки на дверях, когда можно потерять ключи. волков бояться – в лес не ходить.
и почему/зачем циклиться на токенах? ведь можно использовать более другие техники и получить все данные; и пароли, и секретные вопросы.

токен – это компромисс между секурностью и удобством. и, обычно, он привязан к конкретной сессии.
Ответ написан
Griboks
@Griboks
Идея токена в том, что он идентифицирован, т.е. привязан к сессии.

Иными словами, вы пришли в банк, показали паспорт, и больше у вас не просят паспорт до ухода. Если кто-то украдёт ваш паспорт или вы придёте в другой день, то нужно будет снова предъявить документ.

p.s.
Поэтому проблема не в том, что токен видно. Проблема в том, что сессию можно подделать.
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы