有幾個(gè)疑問(wèn)捉超,想問(wèn)一下赛蔫。1.“如果Token被盜, 黑客要持續(xù)使用也需持續(xù)的換取新的Token, 服務(wù)器一旦發(fā)現(xiàn),一個(gè)舊Token多次試圖換取新Token,表示有異常. 這時(shí)強(qiáng)制用戶再次登陸.”這塊該怎么去判定為異常,因?yàn)闉榱吮WC客戶端正常的用戶能夠更換新token成功壳炎,肯定是要有重試機(jī)制的哲虾,這時(shí)也會(huì)發(fā)起多次更換請(qǐng)求锦亦,這個(gè)怎么去識(shí)別。
2.“Token的有效期設(shè)為15分鐘,Token每15分鐘,以舊換新?lián)Q取新的Token. 正常情況下,這個(gè)以舊換新對(duì)用戶不可見(jiàn),一但兩人試圖以舊換新,兩人都阻止,需要再次登陸.”這樣做嫂拴,如果token泄露播揪,或者獲取token的接口泄露,黑客以此來(lái)進(jìn)行攻擊筒狠,會(huì)導(dǎo)致大批量的正常用戶無(wú)法使用吧猪狈,token無(wú)限被占用。
從安全性來(lái)講辩恼,此種策略是要比長(zhǎng)短期token安全性更高罪裹,但是個(gè)人認(rèn)為風(fēng)險(xiǎn)也更大,黑客完全可以利用此種機(jī)制运挫,導(dǎo)致整個(gè)應(yīng)用不可用状共。
IP屬地:湖北
