基于HMAC的Cookie的弱点

时间:2019-01-23 02:02:26

标签: cookies hmac

我目前正在研究无状态服务器设计。 我学习了如何在HTTP cookie中存储基于HMAC的令牌。 这个想法是服务器具有一个秘密密钥,并且是唯一能够生成有效令牌的实体。

我也阅读了这个主题: How do stateless servers work?

有一个关于类似Paypal的网站的有趣示例。 如果攻击者只是复制令牌的内容,则他可以使用该帐户执行任意操作,直到令牌失效为止。

我看到了避免该问题的几种方法:

  • 将IP地址或其哈希存储在令牌中:可能会让用户烦恼吗?
  • 将用户代理或其哈希存储在令牌中:附加值低
  • 要求对基于安全性的用例进行重新认证(例如:密码更改)
  • 添加一次性密码层

还有其他弱点吗? 如何防范这些弱点?

0 个答案:

没有答案
相关问题
最新问题