回答这个问题:What is the most appropriate way to store user settings in Android application,如果我在共享首选项中存储了一个身份验证令牌,使用私有设置,服务器应该如何处理这个令牌?也就是说,
(1) 令牌的有效期应该是多久?
(2) 如何确保其他设备未尝试使用此令牌?
【问题讨论】:
标签: android web-services web-applications authorization access-token
(1) 令牌的有效期应该是多久?
这可能取决于您要实现的功能类型。一些应用程序每次都使用一次性令牌,另一些应用程序是基于活动的(例如,如果您在一段时间内不使用它,它就会过期),其他应用程序只是永远不会过期,除非有人手动这样做(这将是Twitter's 案例)。这可能取决于您的信息的敏感程度,显然,如果您正在管理银行/汇款,安全应该是您的首要任务,并且可能较短的有效期会有所帮助。
(2) 如何确保其他设备未尝试使用此令牌?
这也可能取决于您自己的服务器实现,即您选择实现它的方式。请记住,令牌是由远程服务器生成的随机字符串,您需要保留某种数据库来存储发出的令牌到经过身份验证的用户的映射。当您想使令牌过期时,只需将其从数据库中删除,这样您就可以使数据库保持最新状态,同时您还可以确保不再使用旧令牌。只要攻击者无法创建有效令牌,该令牌就可以(就安全性而言),该令牌是已发出的令牌,存储在您的数据库中并且是最新的(即未过期)。
通常,至少 16 字节长且由强大的加密系统(java.security.SecureRandom、/dev/urandom 等)生成的令牌被认为是足够安全用作认证系统。
为了避免其他用户伪造其他用户的token,这个auth token通常是这样生成的:
S),它是由强大的密码系统(java.security.SecureRandom、/dev/urandom 等)生成的至少 128 位序列。T)、用户名 (N) 和根据N 和@987654332 计算的完整性检查(有点校验和) @,并用 S 键入。S 的服务器,它可以验证请求的令牌并确定它是真实的还是伪造的(因为它也基于用户名)。我认为这些链接可以帮助你:
【讨论】:
OK,让用户执行该操作,否则可能会将他们重定向到身份验证屏幕,告诉他们他们的会话已过期。