W ciągu ostatnich kilku miesięcy budowałem aplikację (ios i aplikację internetową) w programie Parse, a dopiero odkryłem, jak działają tokeny sesji. To, czego nauczyłem się do tej pory:zabezpieczenie tokenu sesji parse.com
- Każdy użytkownik ma swój własny sesji tokena
- Token jest stosowany w celu zastąpienia poświadczenia użytkownika (uwierzytelnianie) podczas wykonywania żądania do serwera
- Token nigdy zmiany (nawet po zresetowaniu hasła) i nigdy nie wygasa
- Token jest przechowywany lokalnie po stronie klienta po zalogowaniu
- Użytkownik może być zalogowany przy użyciu metody Parse.User.become (sessiontoken, options), przy czym tylko token sesji
Wydaje mi się to bardzo niebezpieczne, czy też czegoś brakuje? Wydaje się, że jeśli ktoś dostanie ten token, ma on wieczny dostęp do konta użytkowników, nawet jeśli zmieniono nazwę użytkownika i/lub hasło?
Dzięki,
Mario
Jeśli żeton naprawdę działa w ten sposób, to tak - wygląda śmiertelnie niezabezpieczone. – Regent
prawda; myślisz o aplikacjach internetowych, których używasz, gdy ciasteczko robi to samo ?? –
możesz użyć opcji revokeSessionOnPasswordReset w konfiguracji serwera parsowania –