腾讯云
开发者社区
文档
建议反馈
控制台
首页
学习
活动
专区
工具
TVP
最新优惠活动
文章/答案/技术大牛
搜索
搜索
关闭
发布
登录/注册
精选内容/技术社群/优惠产品,
尽在小程序
立即前往
文章
问答
(9999+)
视频
沙龙
1
回答
oAuth
令牌
会被
窃取
吗
oauth-2.0
假设我访问的API具有基于
令牌
的身份验证。
令牌
是身份验证的密钥,掌握在黑客手中。黑客能够冒充真实的用户
吗
?
浏览 19
提问于2021-08-12
得票数 1
回答已采纳
1
回答
为什么我们甚至需要通过HTTPS刷新
令牌
?
api
、
security
、
ssl
、
oauth-2.0
、
access-token
Oauth
2引入了让过期访问
令牌
和未过期(或长期)刷新
令牌
用于访问新访问
令牌
的概念。 这个额外的安全层是有成本的(后端和前端)。这一措施的好处是否超过了成本?如果您计划通过http部署API,那么这听起来是一个很好的过程,但是当您使用SSL (TLS)时,它仍然有用
吗
?我在互联网上关于这个问题的所有研究都指向“如果攻击者
窃取
了你的非过期访问
令牌
……”,但是等等,不,没有人不能中间人管理我的
令牌
,因为它是通过HTTPS的。那么,我们是否信任HTTPS,所
浏览 1
提问于2016-05-26
得票数 2
1
回答
在专为个人使用的应用程序上保留一个硬编码的
oAuth
令牌
安全
吗
?
android
、
appsec
、
oauth
我已经建立了一个android应用程序,它只
会被
我使用。它没有部署到商店或任何东西-我下载到我的手机与HockeyApp。然而,这个应用程序有一个硬编码为字符串的
oAuth
令牌
,它可以访问我在Github上的私有存储库。这是安全风险
吗
?我真的不想在实现
oAuth
流的整个过程中通过某种登录来生成
令牌
,所以我只想让它硬编码。 我并不是Google的首席执行官,所以很难有人恶意地从我的手机上
窃取
这些东西,尽管我认为这种可能性确实存在。
浏览 0
提问于2018-06-26
得票数 2
回答已采纳
1
回答
春季自定义芒果TokenStore不自动刷新新的access_token时,旧的过期?
spring
、
spring-cloud
、
spring-security-oauth2
、
spring-oauth2
、
spring-mongodb
readAuthentication(
OAuth
2AccessToken
oAuth
2AccessToken) { MongoAccessToken mongoAccessToken
oAuth
2AccessT
浏览 1
提问于2016-11-27
得票数 0
2
回答
OAuth
--如果刷新
令牌
被偷了怎么办?
oauth
看来我还不太明白刷新
令牌
背后的想法。 假设使用了短活访问
令牌
。此
令牌
可能
会被
窃取
,允许攻击者访问重新来源,直到它测试(可能3600秒)。但是,如果他也设法
窃取
刷新
令牌
(应该不会比访问
令牌
受到更多的保护,对吧?)他不能简单地获得一个新的访问
令牌
吗
?因为当有人拥有一个刷新
令牌
时,不需要任何身份验证来刷新访问
令牌
吗
?
浏览 0
提问于2017-06-14
得票数 14
回答已采纳
1
回答
使用刷新
令牌
的选项,
OAuth
2.0客户端凭据流不是更安全
吗
?
oauth2
在客户端凭据流中访问
令牌
请求的响应中,不应该包含
OAuth
2.0规范的国家“刷新
令牌
”,而且即使使用了它们,刷新
令牌
授予请求中的客户端凭据需要发送。也是如此。这意味着每次访问
令牌
过期时,客户端都应该请求一个新的
令牌
,包括请求中的ID和机密。
OAuth
客户端是在服务器中运行的服务,因此客户端凭据流似乎是最好的。然而,这些
OAuth
客户端将在我们的“客户端”服务器中运行,而不是在我们的服务器上运行。因此,问题是: 我知道
OAuth
2.
浏览 0
提问于2021-11-03
得票数 0
1
回答
可以/应该用spring安全性中的每个请求刷新
OAuth
2
令牌
吗
?
java
、
spring
、
spring-security
、
oauth-2.0
、
spring-security-oauth2
从某种意义上说,
oauth
/token返回的
令牌
是我们的会话,因为它允许在有限的时间内访问后端。问题是:我不想让客户端负责捕获
令牌
过期的异常,并在
令牌
过期之前重新验证或安排刷新。我希望
令牌
能够刷新自身,直到它在有限的时间内不再被使用--就像会话一样。(我也不想用每个“数
浏览 1
提问于2013-09-26
得票数 6
1
回答
OAuth
2是否通过http头验证请求域?
php
、
oauth-2.0
、
jwt
我目前正在学习
OAuth
2,我对其中的一部分有点困惑。
OAuth
2服务器是否将JWT中的域与请求标头中的域进行比较?编辑:如果我从非浏览器客户端创建了一个
oauth
2
令牌
,但没有匹配的域名,该怎么办?
浏览 1
提问于2014-08-05
得票数 0
3
回答
在发生数据泄露时,硬件
令牌
是否安全?
data-leakage
、
hardware-token
我的一家银行使用用户名和一次密码(8个号码)对我进行身份验证,该密码是在我打开帐户时他们给我的硬件
令牌
生成的。在常规密码的情况下,它们
会被
散列,并且无法很容易地恢复登录。但是物理安全
令牌
的情况如何?他们安全
吗
?服务器不需要知道某种共享秘密(可以被
窃取
)并有同步时钟来验证从
令牌
输入的数字是正确的
吗
?
浏览 0
提问于2020-09-23
得票数 1
1
回答
如何在mongodb数据库中安全地存储刷新
令牌
mongodb
、
oauth-2.0
、
refresh-token
、
pkce
、
twitter-api-v2
刷新
令牌
允许应用程序在不提示用户的情况下获得新的访问
令牌
。 但是,是否存在存储这些
令牌
的最佳实践?我发现了这个: 但随后的指示似乎是专门针对Azure的。 如何严格地存储刷新
令牌
?
浏览 3
提问于2022-06-24
得票数 0
2
回答
在
OAuth
实现中使用JTW
authentication
、
oauth
、
api
、
jwt
api端点将受到保护,因此为了安全起见,我想使用带有JWT的
OAuth
流。我的流程会是这样的:发出访问
令牌
(JWT)并刷新
令牌
以获得有效的凭据如果过期-发送401并期望接收刷新
令牌
,该
令牌
将被验证,并将发出新的访问
令牌
这是否意味着可以创建假访问
令牌
?
窃取
的访问
令牌
可以是未编码的,用户身份被
窃取
并插入到一个非常相似但却是假的访问
令牌<
浏览 0
提问于2016-11-23
得票数 2
回答已采纳
2
回答
自动化代码在
oauth
2中安全
吗
?
oauth
、
oauth-2.0
我对
oauth
2完全陌生。我需要实现
oauth
2来保护我的REST服务。在阅读了不同的博客帖子后, 授权代码的寿命是多少?如果有人
窃取
授权代码,他能访问用户资源
吗
?
浏览 7
提问于2014-11-05
得票数 0
2
回答
Oauth
2.0中的授权代码授予类型也确保访问
令牌
保密性
吗
?
api
、
authorization
、
oauth2
、
web-authentication
、
access-token
我在试图理解
Oauth
2.0中的各种赠款类型时遇到的一篇非常好的文章是这。作者在很好地解释了
Oauth
2.0流中的各种授予类型方面做得很好。我还跟踪了一些更多的文章,如这和这。使用授权服务器进行访问
令牌
。在此之前一切都很清楚。(如果我的理解不正确,请纠正我)。现在混乱的是:是因为访问
令牌
从未真正发送到web应用程序的前端&相反,前端代码只是将所有资源访问请求发送
浏览 0
提问于2021-03-07
得票数 1
2
回答
从
OAuth
2设备中
窃取
IoT
令牌
oauth
在深入研究不同形式的会话身份验证和持久性时,我开始质疑
令牌
是如何存储的,以及
令牌
是否会受到损害。我所设想的情况如下: 一个用户将他们的智能手机同步到一个社交媒体帐户,并授予了一个
OAuth
2
令牌
。从现在起,此
令牌
的过期时间为三天。用户要么没有锁定他们的手机,要么你就可以短暂地破坏它,并访问设备上存储的任何东西(想想看,新的Android媒体消息攻击)。此时,您可以快速获取
OAuth
2
令牌
并退出。您可以从自己的设备中获取这个
OAuth
2
令牌</e
浏览 0
提问于2015-07-29
得票数 3
1
回答
基于JWT的应用程序认证与授权
security
、
asp.net-web-api
、
oauth-2.0
、
jwt
我正在浏览
Oauth
2文档,认为这是一种允许的安全策略,所以我尝试用一种特殊的方案来实现JWT
令牌
,就像图片中的一个移动应用程序与web通信一样。注意:我不喜欢
Oauth
2刷新
令牌
的想法,因为它们可能
会被
窃取
并允许并行使用(通过合法和恶意用户),除非您通过旋转它们来实现盗窃检测(每次请求时刷新
令牌
)。在这种情况下,为什么要使用它们呢?(我发现了两个用例:被盗的有效访问
令牌
持续20分钟,与
Oauth
令牌
相同。没有收获,
浏览 3
提问于2016-05-12
得票数 5
1
回答
如果内容是私有的,如何防止http请求被伪造?(基本上只允许来自我的界面的请求,而不是浏览器)
php
、
csrf-protection
为每个请求设置一个
令牌
,并在用户登录后开始
令牌
化,这样攻击者就不能加载前一个页面,获取
令牌
并将其发送给下一个请求。从一开始就标记每个请求,这样私人用户的内容就不
会被
窃取
,这是一个好的想法
吗
?任何攻击者从另一个流行的网站
窃取
用户数据。
浏览 0
提问于2012-04-04
得票数 0
回答已采纳
1
回答
使用Django REST API维护会话
django
、
django-rest-framework
、
django-oauth
、
django-rest-framework-jwt
有没有办法维护用户的状态(会话),而不是将
令牌
存储在客户端的本地存储中,这会使
令牌
容易被盗。那么我们如何在Django Rest框架中做到这一点呢?现在我已经在我的项目中实现了
OAuth
,然而,由于访问
令牌
可以交换或
窃取
,我想知道在Django中维护服务器端的会话是否可能?
浏览 7
提问于2018-04-23
得票数 3
1
回答
OAuth
令牌
安全性
security
、
oauth
、
access-token
据我所知,对于
OAuth
的实际行为,
OAuth
标准非常宽松,但是... 我将各种
OAuth
服务的
OAuth
访问
令牌
存储在一个数据库中。如果这些
令牌
被攻破,它们
会被
第三方使用
吗
?也就是说,给定的
令牌
是否仅绑定到我的api和密钥?
浏览 2
提问于2011-08-18
得票数 8
回答已采纳
1
回答
理解
oAuth
工作流
oauth-2.0
、
oauth
、
azure-active-directory
、
azure-api-management
、
azure-oauth
我正在阅读一个,其中谈到
oAuth
工作流。文章有一个顺序图:关于
oAuth
工作流,我有几个问题: 客户端应用程序是否需要管理多个调用,或者我们可以为基于.net的客户端使用nuget包来为我们抽象它?
浏览 6
提问于2022-10-03
得票数 0
回答已采纳
1
回答
如何保护CSRF
令牌
?
csrf
在我的前一个问题中,吴约翰建议我使用每个会话CSRF
令牌
,并告诉我关于保护CSRF
令牌
的另一个问题。 如何保护每个会话类型的CSRF
令牌
,使其不
会被
攻击者
窃取
?
浏览 0
提问于2016-09-20
得票数 0
点击加载更多
扫码
添加站长 进交流群
领取专属
10元无门槛券
手把手带您无忧上云
相关
资讯
跟zseano大牛一起做漏洞赏金猎人系列教程之教程一:开放 URL 重定向
OAuth 2.0与OpenID Connect协议的完整指南
8种至关重要OAuth API授权流与能力
OAuth 2.0 与 OIDC
微服务架构之:访问安全
热门
标签
更多标签
云服务器
即时通信 IM
ICP备案
对象存储
实时音视频
活动推荐
运营活动
广告
关闭
领券