会话令牌安全 parse.com

【问题标题】:session token security parse.com会话令牌安全 parse.com
【发布时间】:2014-10-27 11:52:21
【问题描述】:

在过去的几个月里,我一直在 Parse 上构建一个应用程序(iOS 和 Web 应用程序),并且刚刚发现他们的会话令牌是如何工作的。这是我到目前为止所学到的:

  • 每个用户都有自己的会话令牌
  • 令牌用于在向服务器发出请求时替换用户凭据(用于身份验证)
  • 令牌永远不会改变(即使密码被重置)并且永远不会过期
  • 登录时令牌本地存储在客户端
  • 用户可以使用 Parse.User.become(sessiontoken, options) 方法登录,仅使用会话令牌

这对我来说似乎很不安全,还是我错过了什么?似乎如果有人设法获得此令牌,他们就可以永久访问用户帐户,即使用户名和/或密码已更改?

谢谢,

马里奥

【问题讨论】:

  • 如果令牌真的以这种方式工作,那么是的 - 它看起来非常不安全。
  • 真;想想你使用的 web 应用程序,其中 cookie 做的事情几乎相同??
  • 您可以在解析服务器配置中使用 revokeSessionOnPasswordReset 选项

标签: session parse-platform token


【解决方案1】:

我还仔细检查了从 REST API 和 Android 客户端返回的会话令牌。这是相同的。即使我更改了密码。

这绝对是一个潜在的安全问题。任何人的移动设备被盗,如果会话未加密,黑客就可以获得会话令牌,用户数据的安全将永远处于危险之中。

因为黑客可以永远使用来自任何客户端的会话令牌。你永远不知道黑客什么时候会做坏事。 我严重关注这个问题。希望有人会解决它。

PS:嗨,Mario,我在 Facebook 开发者平台上记录了一个问题。

https://developers.facebook.com/bugs/309490399239393/

希望有人会跟踪它并最终解决它。

【讨论】:

  • 您能否编辑此帖子以重定向到您在groups.google.com/forum/#!topic/parse-developers/qjvKJYikHQ8 进行的讨论,我将接受它作为答案。谢谢!
  • 似乎用户“会话令牌”实际上是 Parse 中用户记录的数据库 ID。如果是这样,问题不在于它永远不会改变,而是您可以become 用户而没有任何身份验证障碍。
【解决方案2】:

看起来他们刚刚更新了系统以使用可撤销的用户会话。不错的解析!

http://blog.parse.com/2015/03/25/announcing-new-enhanced-sessions

【讨论】:

    猜你喜欢
    • 2016-03-29
    • 2015-09-28
    • 1970-01-01
    • 1970-01-01
    • 2020-04-17
    • 2019-12-09
    • 2010-10-05
    • 1970-01-01
    • 1970-01-01
    相关资源
    最近更新 更多
    热门标签
    Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode