在检查Securekey Concierge(提供身份验证服务的公司)的常见问题后,我怀疑会话重放是否有可能危及登录安全性。下面是它的工作原理 让我们说A是我想要登录的政府站点。我没有为站点A创建新的用户名和密码,而是选择Securekey Concierge(假设站点是B)。然后从网站BI选择我的金融机构,我将登录。让我们说它是C.所以登录后CI将被重定向到网站A以及随机生成的令牌,我将填写剩余的细节来完成第一次登录过程。因此,当我下次登录站点C时,相同的随机令牌将被发送到站点A,这将识别我并且不会询问填写我第一次执行的相同细节。 所以我的问题是我不确定随机令牌是否流经站点B.如果确实如此,那么站点B上的某个人可能会使用该令牌冒充我。 我知道单点登录,例如谷歌登录只涉及两个网站,每次签名完成后,第一个网站都会从Google会话中获取信息,每次登录时都会有所不同。 但是在Securekey Concierge中,每次登录时网站C都会发送相同的令牌,如果此令牌流经作为代理站点的站点B,那么我怀疑是否可以使用该令牌进行会话重播。 如果有人知道Securekey Concierge,请你详细说明。
由于