遵循以下逻辑的身份验证的主要缺陷是什么。
用户登录a.example.com并单击“登录到 b.example.com”。此链接生成一个随机字符串并将其保存在b.example.com数据库中。然后它重定向到b.example.com/remotelogin.php?token=therandomstringwhich 检查数据库中的字符串并将用户登录。
我能想到的唯一安全问题是令牌有效的时间限制,可能是 30 秒或其他时间。
问问题
425 次
1 回答
0
这几乎不是用户认证方案。用户身份验证是关于用户是谁。也不是很实用。
例如,如果它在 30 秒内到期,而用户在 40 秒内刷新?然后怎样呢?
恶意用户发送链接并让人们登录网页怎么办?或者恶意用户用登录信息淹没你的数据库怎么办?
你打算拥有 ssl 还是在这 30 秒内你可以重放攻击?你提出的方案一点都不好,还有很多可能出错的东西。
我想我说的主要是这个(不要试图冒犯):
如果您没有任何与用户相关的信息,为什么还要麻烦进行身份验证?反对谁做什么?例如,您不能在社交网络应用程序或银行应用程序或这样的论坛中使用此方案。如果您不做任何安全敏感的事情,那么是的,您的方案没有安全流程,但它没有缺陷,因为它不包含敏感信息。
于 2013-02-26T21:01:31.560 回答