Kd
и проверять его по базе не надо - лишь расшифровать на сервере и использовать сразу
Size: a a a
2018 March 30
Kd
т.е. сразу имеешь юзер ид например из аксес токена, на сервере
IC
Konstantin dmz9
ну, там пишут что иногда в аксес сразу зашифровываются нужные данные
Зато его не отозвать
IC
Так что это говно решение
Kd
зато он кончится быстро
IC
Konstantin dmz9
зато он кончится быстро
Насколько?
Kd
полчаса
DM
Ну это же костыль? Рефреш тогда тоже можно перехватить, если подождать.
Безопасных систем нет. Но Тут главная задача усложнить взлом
IC
Konstantin dmz9
полчаса
То есть у злоумышленника будет полчаса, в течение которых он будет что угодно делать
IC
Отлично
Kd
ну как что угодно
IC
ЗаSHITа
Kd
прикол в том что получить аксес токен можно на отдельный ресурс
QH
Konstantin dmz9
зато он кончится быстро
Ну пусть хоть каждый час протухает, за 15 минут вполне можно подолбиться в эндпоинты и натворить делов. А потом перехватить новый.
Kd
а не на всё апи например
QH
Konstantin dmz9
прикол в том что получить аксес токен можно на отдельный ресурс
и что?
IC
Короче, берешь HTTPS и обычный токен и получаешь защиту лучше и проще
Kd
ну и то что короткоживущий токен на один отдельный ресурс который не надо проверять по базе каждый раз
Kd
против проверок на каждый запрос одного и того же "Общего" токена
QH
Безопасных систем нет. Но Тут главная задача усложнить взлом
тут главная задача — усложнить разработку, на взлом влияет слабо