腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
在
异步
存储
中
存储
访问
令牌
的
安全
风险
react-native
、
asyncstorage
我正在使用React Native构建一个应用程序,该应用程序需要
存储
访问
令牌
。我找到
的
解决方案是将
访问
令牌
存储
在
AsyncStorage
中
,但问题是
存储
在
AsyncStorage
中
的
值没有加密。 如果
存储
的
值没有加密,会有什么
安全
风险
?例如,如果设备被盗,并且具有未加密
的
磁
浏览 11
提问于2021-04-26
得票数 0
2
回答
为什么我们需要刷新
令牌
?
jwt
最近读了很多关于jwt身份验证流程
的
文章。从概念上讲,流程应该是这样
的
: 客户端登录并接收和
访问
令牌
和刷新
令牌
。
访问
令牌
将是短暂
的
,并且将
存储
在内存
中
,而不是
存储
在
本地
存储
中
,以降低成为stolen.Refresh
令牌
的
风险
,只有
在
访问
令牌
浏览 8
提问于2021-11-08
得票数 2
回答已采纳
1
回答
存储
用户凭据与
存储
刷新
令牌
mobile
、
session-management
、
jwt
Keycloak将用作IAM工具,
令牌
将用作JWT。选项1:
存储
加密
的
用户凭据并设置短期
访问
令牌
/刷新
令牌
。 当
访问
令牌
和刷新
令牌
过期时,使用
存储
的
凭据执行后台登录,并检索新
的
访问
和刷新
令牌</
浏览 0
提问于2019-04-03
得票数 2
回答已采纳
1
回答
基于
令牌
的
身份验证-
安全
漏洞?
angularjs
、
jwt
我们正在使用基于
令牌
的
身份验证。身份验证过程记录用户,然后将一个JWT
令牌
返回到
存储
在
sessionStorage
中
的
应用程序。我们请求对应用程序进行
安全
审计,测试人员说,
令牌
存储
在
sessionStorage
中
是一个大问题。因为他可以复制
令牌
并从另一个设备模拟用户。 我应该在哪里以及如何
存储
这个
令牌
,以确保它是
安全</
浏览 2
提问于2014-11-27
得票数 3
回答已采纳
2
回答
加密或不加密
的
访问
令牌
security
、
authentication
、
access-token
我们将
访问
令牌
存储
在数据库
中
,它是一个随机字符串,它是按原样
存储
的
,没有加密。 它必须被加密吗?是否存在
安全
风险
?
浏览 26
提问于2017-03-11
得票数 7
2
回答
在
非OAuth cookie
中
存储
HttpOnly
访问
和刷新
令牌
cookies
、
oauth2
我使用OAuth auth代码流生成
访问
和刷新
令牌
,然后将它们
存储
在
两个不是HttpOnly
的
浏览器cookie
中
,并将它们也发送回客户机。cookies必须是非HttpOnly,因为客户端需要知道
访问
令牌
是否存在,以了解是否应该与授权服务器对话,并执行刷新
令牌
流以获得新
令牌
。 这对
安全
来说有多糟糕?当刷新/
访问
令牌
被盗时,
风险
有多大?
浏览 0
提问于2018-09-13
得票数 1
1
回答
SPA应该在哪里保存OAuth 2.0
访问
令牌
?
security
、
oauth-2.0
、
access-token
在
授权代码授权流
中
,一旦公共客户端(如单个页面应用程序( SPA ) )获得了OAuth 2.0
访问
令牌
,SPA应将其保存在何处?将
访问
令牌
存储
在
地区
存储
或会话
存储
中会引发跨站点脚本(XSS)攻击,因此应该避免这种攻击。 将
访问
令牌
存储
在
非httpOnly cookie
中
也会导致XSS攻击,因此也应该避免这种攻击。
在
浏览 2
提问于2019-05-24
得票数 13
1
回答
加密会话
令牌
与
存储
的
随机会话
令牌
authentication
、
session-management
、
risk-management
、
token
我正在构建一个web,我很难
在
加密会话
令牌
和
存储
的
随机会话
令牌
之间进行选择,以便进行用户身份验证。我看到了每个人
的
优点和缺点:非常随机,碰撞
风险
可忽略不计;在数据库插入过程
中
还可以进行额外
的
唯一检查。
存储
在数据库
中
,这会导致扩展成本,
浏览 0
提问于2015-09-20
得票数 2
回答已采纳
1
回答
在
客户端浏览器
的
会话
存储
中
存储
openId
的
“openId”是否存在
安全
风险
?
security
、
openid
First,从“auth”请求id_token,并将id_token
存储
在
客户端浏览器
的
会话
存储
中
。这只是一个
在
RFC 6749
中
定义
的
“授权代码流”。第二个,通过"id_token“从”request“请求"res
访问
令牌
”。第三次
访问<
浏览 4
提问于2018-09-16
得票数 0
1
回答
延长JWT
的
到期时间
authentication
、
jwt
当我们讨论JWT身份验证时,如果消除刷新
令牌
的
概念,只让单个JWT
的
过期时间为30天,那么
安全
性
风险
会有多大。刷新
令牌
仍然可以被cookie /本地
存储
访问
(尽管许多人也认为这是一种
安全
风险
), 因此,从理论上讲,如果攻击者也可以得到一个新
的
令牌
和刷新
令牌
,这不是一回事吗?
浏览 0
提问于2021-09-23
得票数 2
回答已采纳
1
回答
OpenID连接授权代码流和PKCE -我们应该如何在一个SPA应用程序
中
获得一个新
的
访问
令牌
?
oauth2
、
openid-connect
作为应答
的
在这个问题上,不应该使用OIDC授权代码流为单个页面应用程序提供刷新
令牌
。 当新
的
访问
令牌
过期时,您能指出获得新
访问
令牌
的
方法吗(不中断SPA状态(没有重定向.)?如果使用刷新
令牌
是唯一
的
解决方案,那么我们有什么方法可以将泄漏
风险
降到最低呢?例如,将其
存储
在
浏览器
的
会话
存储
中
是否足够
安全</e
浏览 0
提问于2019-12-23
得票数 1
1
回答
在
蔚蓝函数应用程序
中
安全
地
存储
DevOps REST
的
刷新
令牌
有哪些选择?
oauth-2.0
、
azure-functions
、
azure-devops-rest-api
我正在尝试通过Azure
中
的
powershell函数应用程序为用户实现OAuth2身份验证。通过阅读,它特别建议将刷新
令牌
保存在应用服务器上:
安全
地保存refresh_token,这样您
的
应用程序就不需要提示用户再次授权。
访问
令牌
的
过期相对较快,不应持久化。
存储
刷新
令牌
的
最佳实践是什么?我可以想出许多方法,但恐怕我会做一些幼稚
的
事情。
浏览 1
提问于2021-04-22
得票数 1
2
回答
如何从第3部分api
存储
访问
令牌
?
meteor
、
oauth-2.0
、
access-token
、
server-variables
嗨,我正在使用陨石和第三方api来创建第三方数据库
的
用户。
安全
地
存储
它们并在服务器
浏览 1
提问于2018-12-11
得票数 3
回答已采纳
1
回答
在
URL
中
嵌入JWT
的
安全
风险
?
jwt
我有一个端点,它重定向到
存储
在
存储
服务上
的
图像,我正在考虑将JWT嵌入到url端点作为https://host/image?token=是否
安全
。这与系统用于解码和验证用户会话
的
JWT
令牌
相同。它可以工作,并允许我确保只有登录到系统
的
用户才能
访问
存储
url,但是,这是否会通过将
令牌
放置
在
普通视图中而不是将其嵌入到HTTP报头中而带来任何额外
的<
浏览 0
提问于2021-04-25
得票数 0
回答已采纳
1
回答
在
Redux中直接
存储
Auth
令牌
安全
吗?
reactjs
、
django
、
redux
、
django-rest-framework
我目前正在为一个本地电子商务平台建立一个卖家仪表板,并使用Django作为我
的
后端和React作为我
的
前端。我有Django Rest框架为我
的
后端API提供前端服务,所以我
的
问题是,
在
Redux
中
存储
Django Rest框架提供
的
令牌
的
最
安全
方式是什么,以便我可以使用它与后端对话。在当前Redux状态下将
令牌
存储
为普通变量是否存在
安全
浏览 19
提问于2020-10-27
得票数 0
1
回答
在数据库
中
存储
第三方API
令牌
web-application
、
databases
、
cookies
、
api
、
json
我正在跟踪授权代码流以获得
访问
令牌
。这个
访问
令牌
将用于查询某些端点,以获得将用于我
的
项目的数据
的
JSON响应。这个记号持续一个小时。我目前正在将此
访问
令牌
存储
在
cookie
中
,并使用此cookie进行新
的
请求。 我
的
问题是,从保安
的
角度来看,这是否可以接受?此
令牌
无法更改任何用户配置文件设置或读取敏感数据。但是,如果另一个人能够
浏览 0
提问于2020-01-04
得票数 1
回答已采纳
3
回答
如何使用PKCE授权流注销?
authentication
、
oauth
、
oauth-2.0
、
okta
如果app通过授权服务器登录并与每个请求一起发送authorization: Bearer xxx头,则api可以
在
本地验证
令牌
。当用户(通过auth服务器)注销时,但是如果有人检索到这个token,他们将能够发出请求(如果
令牌
的
身份验证是
在
服务器上本地完成
的
),但是token还没有过期,这是正确
的
吗?如果是这样的话,为什么这样
的
注销流被认为是
安全
的
? 编辑:澄清主要问题:如果用户注销
访问
令
浏览 10
提问于2020-06-25
得票数 0
回答已采纳
1
回答
在
单页应用程序
中
存储
API身份验证
令牌
authentication
、
api
、
single-page-app
我
的
问题是关于API
的
客户端,它恰好是
在
web浏览器
中
运行
的
单页应用程序。我
的
理解是,由于XSS攻击和JavaScript依赖受损
的
风险
,它们将身份验证
令牌
存储
在
本地
存储
或内存
中
是不
安全
的
。由于HttpOnly
的
风险
,让它们将身份验证
令牌
存储
在</e
浏览 0
提问于2019-06-17
得票数 3
回答已采纳
1
回答
如何使用AngularJS模块构建用户身份验证工作流?
8
、
services
、
users
例如,将会话信息
存储
在
cookie或
令牌
中
。为了保持带有
令牌
的
持久身份验证,AngularJS将
令牌
存储
在
本地
存储
中
。我一直读到,这会导致
安全
风险
,因为其他脚本能够
访问
本地
存储
。此外,RESTful还附带了一个
令牌
身份验证模块,该模块
在
服务器上
存储
令牌
。 第
浏览 0
提问于2015-06-19
得票数 0
1
回答
React
中
的
安全
JWT
令牌
处理
reactjs
、
jwt
一个小时以来,我一直
在
寻找一个令人满意
的
答案,但我仍然找不出这个问题
的
答案:如何使用React将JWT
令牌
安全
地
存储
在
客户端?据我所读,localStorage解决方案是不受欢迎
的
,因为它可以从第三方脚本
中
访问
。提出
的
一种更
安全
的
解决方案是使用HttpOnly cookie,但问题是,它无法通过js
访问
,因此
在
响应上是无用<em
浏览 2
提问于2021-09-13
得票数 8
回答已采纳
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
Blockfolio悄悄修补了暴露了数年之久的源代码安全漏洞
浅谈 OpenStack 平台的安全问题及应对措施
10万 npm 用户账号信息被窃、日志中保存明文密码,GitHub安全问题何时休?
安全公司:恶意npm包试图窃取Discord令牌
JWT令牌:轻量级基于令牌的身份验证
热门
标签
更多标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
活动推荐
运营活动
广告
关闭
领券