Tôi đã xây dựng một ứng dụng (ios và ứng dụng web) trên Parse trong vài tháng qua và chỉ mới phát hiện ra cách mã thông báo phiên làm việc của chúng. Đây là những gì tôi đã học được cho đến nay:an ninh mã thông báo lỗi phiên
- Mỗi người dùng có phiên riêng của họ thẻ
- Các thẻ được sử dụng để thay thế các thông tin người dùng (để xác thực) khi thực hiện các yêu cầu đến máy chủ
- Các dấu hiệu bao giờ thay đổi (ngay cả khi đặt lại mật khẩu) và không bao giờ hết hạn
- Mã thông báo được lưu trữ cục bộ trên phía máy khách khi đăng nhập
- Người dùng có thể đăng nhập bằng phương pháp Parse.User.become (sessiontoken, options), chỉ với mã thông báo phiên
Điều này có vẻ rất không an toàn đối với tôi, hoặc tôi đang thiếu điều gì đó? Dường như nếu bất kỳ ai quản lý để nhận mã thông báo này, họ có quyền truy cập vĩnh viễn vào tài khoản người dùng, ngay cả khi tên người dùng và/hoặc mật khẩu được thay đổi?
Cảm ơn,
Mario
Nếu mã thông báo thực sự hoạt động theo cách này, thì có - có vẻ không chắc chắn chết người. – Regent
đúng; nghĩ về các ứng dụng web mà bạn sử dụng nơi cookie thực hiện khá nhiều điều tương tự? –
bạn có thể sử dụng tùy chọn revokeSessionOnPasswordReset trong cấu hình phân tích cú pháp máy chủ –