如何防止令牌替换攻击？

Question

假设我们有两个用户在做以下操作 -

1. User1 向身份验证服务器请求访问令牌，并且也被授予。
2. 现在 user1 将令牌保存到 localstorage/cookie 中以供将来 api 访问。
3. 现在 User2 接近 User1 浏览器并通过某种方式获取 access_token。
4. 现在 User2 使用 user1 的 access_token 调用 api 并且无需登录也可以获得访问权限。

现在我们可以验证令牌了吗？

Answer 1

你无法避免这种情况发生。但是，令牌应该有一个过期时间，因此攻击者只能在该时间段内访问。此外，如果您知道令牌已被盗，您可以将其撤销，使其不再有效。

您可以应用更多的安全措施，例如将令牌与特定 IP 地址相关联，或者使用一些甚至使用机器学习来检测异常行为的高级服务。

Answer 2

除非加密，否则不得将 OAuth 令牌等机密信息存储在 HTTP Cookie 中。加密应该是客户端/会话特定的，这意味着每个客户端会话应该使用不同的加密密钥。如果入侵者提取加密的 cookie 并尝试将其用于不同的会话，则解密将失败，从而导致 cookie 无效。

在您的场景中，用户 B 获得对用户 A 会话的访问权限。没有太多的保护可用。这类似于您登录银行，离开办公桌去喝咖啡，然后其他人坐下来使用您登录的浏览器窗口开始转账。

安全性取决于最薄弱的环节。每个组件都必须实现强大的安全性。如果单个组件可能被破坏，那么其他安全组件也可能会失败。

在非常严格的安全性和便利性之间需要权衡取舍。如果过程太乏味或太困难或只是碍事，人类往往会牺牲安全性。

我的银行做了一些有趣的事情。一旦我登录并继续做事（点击链接、移动鼠标​​等），我就会保持身份验证。如果我暂停一分钟，那么下次我单击链接时，我必须重新进行身份验证。检测可能无人看管办公桌的人的有趣策略。