那些遇到过的问题

会话令牌安全parse.com

Mar*_*rio 6 session token parse-platform

在过去的几个月里,我一直在Parse上构建应用程序(ios和web应用程序),并且刚刚发现了他们的会话令牌是如何工作的.这是我到目前为止所学到的:

  • 每个用户都有自己的会话令牌
  • 令牌用于在向服务器发出请求时替换用户凭据(用于身份验证)
  • 令牌永远不会更改(即使重置密码)并且永不过期
  • 登录时,令牌将本地存储在客户端
  • 用户可以使用Parse.User.become(sessiontoken,options)方法登录,只使用会话令牌

这对我来说似乎很不安全,或者我错过了什么?似乎有人设法获得此令牌,即使用户名和/或密码被更改,他们也可以永久访问用户帐户?

谢谢,

马里奥

Mar*_*rio 3

看起来他们刚刚更新了系统以使用可撤销的用户会话。很好的一个解析!

http://blog.parse.com/2015/03/25/announcing-new-enhanced-sessions

归档时间:

查看次数:

2824 次

最近记录:

10 年,1 月 前
相关归档
JSch:如何保持会话活跃起来 15
模型测试中未定义的局部变量或方法"会话" 8
Parse.com查询对象的数组值包含任何元素的对象 6
如何在Devise上处理基于令牌和基于cookie的身份验证 5
如何使用Android App获取解析用户列表 5
ASP.NET中SessionState中"InProc"和"stateServer"模式的区别 3
Azure和In Proc会话 3
HttpSession request.getSession(false) 3
GWT,删除历史记录令牌 2
TypeError:Object [object Object]没有方法'' -2
难疑归档
使用jQuery为复选框设置"选中"? 3988
如何在Python中延迟时间? 2638
.gitignore和.gitkeep有什么区别? 1776
警告:push.default未设置; 它的隐含值在Git 2.0中发生了变化 1615
使用jQuery将表单数据转换为JavaScript对象 1580
LINQ中的多个"order by" 1537
确定数组是否包含值 1300
如何分析Python脚本? 1203
从不同的文件夹导入文件 1186
angular-route和angular-ui-router之间有什么区别? 1064