使用其他提供程序身份验证服务(如Soundcloud)时,令牌身份验证中的安全性?

时间:2015-01-16 18:50:16

标签: security authentication soundcloud session-storage http-token-authentication

Soundcloud Connect按钮的用户登录过程

  1. 按网站上的按钮,开始使用api服务器生成的随机令牌进行会话,而无需在Soundcloud上对用户进行身份验证。
  2. 用户重定向到Soundcloud身份验证页面(soundcloud登录页面)。
  3. 用户应输入他/她的Soundcloud帐户信息。
  4. 按下connect后,在api端调用一个方法,根据SoundCloud发送的参数创建用户及其身份验证。并且api服务器将用户重定向到主页,并且客户端中的脚本将令牌设置为标题作为对网站的授权。

    5. 现在,我担心的是在用户通过soundcloud连接之前启动会话,甚至认为用户无法连接到SoundCloud就无法进入主页。

    这种验证用户安全的技术是否安全?什么是潜在的攻击?

1 个答案:

答案 0 :(得分:0)

这种方法会让你容易受到会话固定的影响。

攻击情形如下所示:

  1. 攻击者欺骗用户使用已知的会话密钥(通常通过其他漏洞,如XSS)
  2. 用户使用SoundCloud进行身份验证,会话密钥保持不变
  3. 攻击者使用相同的会话密钥连接到您的应用程序,从而接管会话。

    4. 虽然这种攻击不是很常见,但它在野外出现,标准程序是在发生任何身份验证后始终发出新的会话密钥。

相关问题
最新问题