2

私が作成した API の oauth2 ソリューションを実装していますが、潜在的な安全性の問題 (または少なくとも私の理解) に苦労しています。

単一のトークンのみが生成され、エンドポイント要求の認証資格情報として使用されるのは正しいですか。トークンが有効で使用されることを期待して、攻撃者が単純にトークンを API に送信する潜在的なブルート フォース攻撃を阻止するものは何ですか?

私はおそらく何かを誤解していますが、それが何であるかを理解することはできません。

4

2 に答える 2

2

もちろん、トークンを想像するのは難しいはずです。たとえば、単純な連続した整数であってはなりません。また、トークンの長さに制限はありません。基本的に 2 つのオプションがあります。

1)独自のキーを使用して暗号化された長いトークンを作成します(注:長くする必要はありません、暗号化により暗黙的に長くなるため、長くなります)。これらのトークンを暗号化および復号化できるのはあなただけであるため、トークンが本当にあなたのものであることを確認できます。

2)データベースにも保存され、作成がかなり難しいトークンを作成するため、トークンがデータベースに存在することを確認します。

2 つのアプローチを混在させることもできます。また、トークンに有効期限を追加する必要があります (最初のケースではトークンに埋め込まれているか、2 番目のケースではデータベース内のトークンとは別に)。

于 2012-12-28T13:58:49.293 に答える