那些遇到过的问题

如何防止使用被盗令牌进行 Rest Web 服务身份验证

Hem*_*lia 1 java security authentication rest restful-authentication

众所周知,Rest 服务是无状态的,一般的身份验证策略是使用基于令牌的身份验证。

在登录服务中,它需要返回令牌的凭据。

此令牌可能会在客户端 cookie 中设置,并且所有后续请求都使用此令牌进行验证并在令牌有效的情况下处理新请求。

现在我的问题是如何验证令牌?如果有人窃取了令牌并试图通过编辑cookie来使用窃取的令牌访问休息服务,那么如何识别和限制它呢?

我们永远无法知道令牌是否由有效用户获取并且同一用户是否正在尝试访问后续请求。但是有哪些可能的方法可以使其变得更加困难,例如验证请求是否来自同一来源?

一个一般建议是设置令牌/cookie 的老化时间,但直到该令牌/cookie 的老化时间为止它仍然没有帮助。

任何建议,将不胜感激。

Mar*_*ski 6

我不相信有任何 100% 万无一失的方法可以防止使用被盗的用户令牌进行访问。您首先怎么知道令牌被盗了?但从我的角度来看,您可能需要考虑以下内容:

  1. 使用相同的令牌但不同的用户代理访问 REST 服务是可疑的。这可以通过 User-Agent 标头的值来识别。您可能需要考虑放弃此类请求。
  2. 如果 IP 地址发生变化但令牌仍然相同怎么办?好吧,也许有人正在使用负载均衡器并通过不同的 IP 地址访问网络?或者他使用与以前相同的令牌/cookie 访问 VPN?如果您毫不犹豫地丢弃此类请求,您也可以通过检查源 IP 地址来提高安全性。
  3. 对于 JWT 令牌,您将需要一些基础设施来处理黑名单。按照这个

归档时间:

查看次数:

1001 次

最近记录:

5 年,11 月 前
相关归档
如何创建"现代化"的Java桌面应用程序? 47
为什么Sun不用C#来编写Java字节码编译器? 46
将复杂对象传递到WCF Rest Service 11
安全C编码实践 8
API网关与微服务端点中的授权 6
AJAX请求的安全性 5
安全地运行码头 5
在 javax XML 验证器中禁用 DTD 5
有人可以通过设置 x-hasura-role 来伪造对 Hasura GraphQL 引擎的请求吗? 3
具有身份验证的Cloud Firestore 2
难疑归档
如何重命名本地Git分支? 8033
在'for'循环中访问索引? 3312
如何使用JavaScript漂亮地打印JSON? 2222
SQL Server中的LEFT JOIN与LEFT OUTER JOIN 1514
如何强制使用favicon刷新? 1499
我在哪里将'assets'文件夹放在Android Studio中? 1366
如何用"喜欢"查询MongoDB? 1331
获取JavaScript数组中的所有唯一值(删除重复项) 1273
npm在没有sudo的情况下抛出错误 1218
如何使用SSH在远程计算机上运行shell脚本? 1164