那些遇到过的问题

登录令牌是否会过期?

The*_*own 4 security login registration token

我开发了一个应用程序,包括一个Web后端,提供通过电子邮件和密码或通过令牌登录的方法.通过电子邮件登录时,服务器会在30天后存储的用户记录中存储令牌.然后,此令牌可用于自动登录,而无需每次都再次键入电子邮件和密码.至少30天.

现在我的问题是:令牌到期真的有必要吗?如果是这样,为什么?

再见

小智 7

可用性 - 答案是"不,它不应该过期",安全答案是"是的,它应该肯定到期"

原因:弱认证和会话管理在OWASP Top Ten(1)中排名第二.防止会话劫持和其他基于会话的攻击的常见最佳做法是会话到期.这样,减少了被盗,预测或暴力强制令牌的影响.它还减少了时间,攻击者必须"打破"令牌.你可以在这里找到关于会话到期的好总结:(2)

归档时间:

查看次数:

985 次

最近记录:

9 年,4 月 前
相关归档
JSP/Servlet Web应用程序中的XSS预防 67
如何使用PHP中的Blowfish创建和存储密码哈希 27
iOS 8,9上NSUserDefaults的安全性如何? 15
IIS7为ApplicationPoolIdentity提供对网络位置的访问权限 14
在ReactNative应用程序中何处设置EXPO_DEBUG值? 12
从VBA运行SAS,具有完全访问权限 6
如何在C#中还原SQL Server 2012数据库.bak文件? 4
从服务器删除文件:拒绝访问该路径 2
安全和抛出异常 1
用webview登录android facebook 1
难疑归档
关闭/隐藏Android软键盘 3641
为什么Android模拟器这么慢?我们如何加快Android模拟器的速度? 3356
Bash中的Echo newline打印文字\n 2171
什么是sleep()的JavaScript版本? 2115
什么是非捕获组?(?:)做什么? 1653
在JavaScript对象数组中按id查找对象 1435
我怎样才能存储特定文件? 1422
使用jQuery作为JS对象向select中添加选项的最佳方法是什么? 1340
在现代Python中声明自定义异常的正确方法? 1176
我是否提交了由npm 5创建的package-lock.json文件? 1164