Какой смысл в токенах авторизации, если их видно при передачи?

@kotcich

Ну то есть будь то headers или query параметры, не важно, если злоумышленник непосредственно получит доступ к токену после факта самой передачи, даже если он был при этом зашифрован, то значит этот набор символом валиден для использования, ведь на стороне сервера обрабатываться они будут определенным алгоритмом.
То есть если пользователь оставил компьютер и ушел на обед к примеру, можно же спокойно взять и скопировать этот зашифрованный токен, да и сам пользователь может это сделать и разослать его кому угодно. Ведь если отправляя этот набор символов он смог получить доступ, значит и другие смогут.

Решения вопроса 0

Ответы на вопрос 3

@pro100chel

Токен не видно при передаче. Или ты не знаешь про https?

Если юзверь идет на обед и не лочит комп — тут никакие системы защиты уже не спасут.

Если у тебя рефреш токен есть то хакер обменяет пару токенов и токены юзера станут заюзанными. Юзер использованный токен попытается заюзать если зайдет на сайт. Это как раз сигнал того что токены спи#дили и нужно сбросить все сессии этого пользователя.

@DevMan Куратор тега Веб-разработка

вопрос из разряда: зачем замки на дверях, когда можно потерять ключи. волков бояться – в лес не ходить.
и почему/зачем циклиться на токенах? ведь можно использовать более другие техники и получить все данные; и пароли, и секретные вопросы.

токен – это компромисс между секурностью и удобством. и, обычно, он привязан к конкретной сессии.

@Griboks

Идея токена в том, что он идентифицирован, т.е. привязан к сессии.

Иными словами, вы пришли в банк, показали паспорт, и больше у вас не просят паспорт до ухода. Если кто-то украдёт ваш паспорт или вы придёте в другой день, то нужно будет снова предъявить документ.

p.s.
Поэтому проблема не в том, что токен видно. Проблема в том, что сессию можно подделать.

Похожие записи:

Добавить комментарий Отменить ответ