遵循以下逻辑的认证存在哪些主要缺陷。
用户登录a.example.com并点击“登录b.example.com”。此链接生成随机字符串并将其保存在b.example.com数据库中。然后重定向到b.example.com/remotelogin.php?token=therandomstring,它会检查数据库中的字符串并将用户登录。
我能想到的唯一一个安全需要的问题是令牌有效的时间限制,可能是30秒或者其他什么。
答案 0 :(得分:0)
这几乎不是用户身份验证方案。用户身份验证是关于用户的身份。它也不太实用。
e.g。如果它在30秒内到期并且用户在40秒内刷新?那么呢?
恶意用户发送链接并让人们登录网页怎么样?或者恶意用户使用loggins充斥您的数据库呢?
你是否计划拥有ssl或在30秒内你可以重播攻击?你提出的方案并不好,还有很多可能出错的东西。
我想我所说的主要是这个(不试图冒犯):
如果您没有持有任何用户相关信息,为什么还要进行身份验证?反对谁做什么?例如,您不能在社交网络应用程序或银行应用程序或此类论坛中使用此方案。如果你没有做任何安全敏感的事情那么是的你的方案没有安全流程但它没有缺陷,因为它没有保存敏感信息。