这个问题可能听起来很傻,但我已经很久没有处理网络上的安全问题了。
如果用户登录并获得有效期为 30 分钟的令牌。几分钟后,他断开了互联网。在 30 分钟窗口关闭之前,他再次重新连接。之前的令牌仍然有效吗?
为清楚起见,身份验证是否取决于令牌和用户凭据或令牌和 IP 的组合?
这个问题可能听起来很傻,但我已经很久没有处理网络上的安全问题了。
如果用户登录并获得有效期为 30 分钟的令牌。几分钟后,他断开了互联网。在 30 分钟窗口关闭之前,他再次重新连接。之前的令牌仍然有效吗?
为清楚起见,身份验证是否取决于令牌和用户凭据或令牌和 IP 的组合?
如果您真的没有关于所使用技术的信息并且无法获得它,我建议您尝试一下。
自己成为用户,尝试断开连接,尝试更改您的 IP 等。
但最好的选择仍然是尝试掌握所使用的技术。
首先要说明一点:除了(可能)更改 IP 地址外,服务器无法知道客户端断开/重新连接,或者一直保持连接。
通常令牌不绑定到严格的 IP 地址。这是因为有时后续连接来自不同的 IP 地址(它可能通过负载平衡的代理服务器进行路由,即使在当今时代,有些人仍在使用它们/一些 ISP 仍在实施它们),或者 IP 地址可能以其他方式改变. 话虽这么说,我的经验是,在这些情况下,“子网”保持不变(所以在 XXX.XXX.XXX.YYY 中,YYY 可能会在请求之间发生变化,X 保持不变。不确定 IPv6 的这个 ID 是怎样的)。因此,我知道有些系统将令牌绑定到 24 个最高有效位,以避免令牌劫持(如果有人出于某种原因获取了您的令牌,他们将需要从同一子网连接以使令牌有效)。
最后,这一切都取决于系统。它应该很容易检查。在您的笔记本电脑上登录该站点。然后,让浏览器保持打开状态,通过一些 VPN(匿名器)连接,通过电话共享连接你的笔记本电脑,或者要求使用邻居/当地咖啡店的 wifi,看看你是否仍然登录。