这个问题可能听起来很愚蠢,但是我在网上处理安全问题已经很久了。
如果用户登录并获得有效30分钟的令牌。几分钟后,他断开了互联网连接。在30分钟窗口关闭之前,他再次重新连接。以前的令牌是否仍然有效?
为清楚起见,身份验证是否依赖于令牌和用户凭据或令牌和IP的组合?
答案 0 :(得分:1)
如果你真的没有关于所用技术的信息而且无法获得它,我建议你试试看。
自己做用户,尝试断开连接,尝试更改IP等。
但最好的办法仍然是尝试掌握所使用的技术。
答案 1 :(得分:1)
首先要说明的是:除了IP地址的(可能的)更改之外,服务器无法知道客户端已断开/重新连接,或者只是始终保持连接状态。
通常令牌不受严格的IP地址限制。这是因为有时后续连接来自不同的IP地址(它可能通过负载均衡代理服务器路由,即使在这个时代,有些人仍然使用它们/某些ISP仍然实现它们),或者其他一些方式IP地址可能会如何改变。话虽这么说,我的经验是,在这些情况下,“子网”保持不变(因此在XXX.XXX.XXX.YYY中,YYY可能会在请求之间发生变化,X保持不变。不确定这个ID如何用于IPv6)。因此,我知道有些系统将令牌绑定到24个最高位,以避免令牌劫持(如果有人因任何原因获取了令牌,他们将需要从同一子网连接以使令牌有效)。 / p>
最终这一切都取决于系统。它应该很容易检查。登录您的笔记本电脑到该网站。然后,打开浏览器,通过一些VPN(匿名者)连接,通过电话网络连接你的笔记本电脑,或者要求使用邻居/本地咖啡店的wifi,看看你是否还在登录。