标签: security login token registration
我开发了一个应用程序,其中包括一个Web后端,提供通过电子邮件和密码或通过令牌登录的方法。通过电子邮件登录时,服务器会在30天后存储的用户记录中存储令牌。然后,此令牌可用于自动登录,而无需每次都再次键入电子邮件和密码。至少30天。
现在我的问题:令牌到期真的有必要吗?如果是这样,为什么?
再见
答案 0 :(得分:6)
可用性 - 答案是"不,它不应该过期", 安全答案是"是的,它肯定会过期"
原因:弱认证和会话管理在OWASP Top Ten(1)中排名第二。防止会话劫持和其他基于会话的攻击的常见最佳做法是会话到期。这样,减少了被盗,预测或暴力强制令牌的影响。它还减少了时间,攻击者必须“打破”#34;令牌。 您可以在此处找到关于会话到期的好摘要:(2)
答案 1 :(得分:1)
这取决于您的应用程序的安全要求。请记住,在有人登录应用程序后,其他人可以使用为原始用户创建的令牌进行登录。