一次创建的 Web Api 令牌正在处理所有请求
One time created Web Api token is working on all request
我想询问基于 Web Api 令牌的身份验证。作为用户,我正在网络上创建一个令牌 api。令牌 link 是 http://mydomain/token
此请求返回一个长令牌字符串。我正在使用此令牌来获取这样的安全数据:
http://mydomain/orders
Accept:application/json
Content-type:application/json
Authorization: Bearer lksKaBgTgNT06LAWzHeLHiwMUI6nBHNvE2qen9............
此 header 信息正在处理 Chrome 浏览器上的 ajax 请求。但同样的标记正在与另一个浏览器 Firefox 或 IE 一起使用。
这是否存在安全风险?如果有人知道我的令牌,那么监听网络就可以访问我的数据。我应该用 https 来防止这种情况吗?
是的,它正在按应有的方式工作。对于服务器来说,它来自哪个浏览器并不重要,只要令牌有效,它就会处理请求并发回响应。
要解决问题,您可以使用以下任何(或所有)策略:
- 加密请求和响应 (https)。
- 令牌寿命短(例如 30 分钟)并使用刷新令牌重新颁发令牌。
- 使用客户端 ID 和令牌。颁发特定于客户端 ID 的令牌。
我想询问基于 Web Api 令牌的身份验证。作为用户,我正在网络上创建一个令牌 api。令牌 link 是 http://mydomain/token
此请求返回一个长令牌字符串。我正在使用此令牌来获取这样的安全数据:
http://mydomain/orders
Accept:application/json
Content-type:application/json
Authorization: Bearer lksKaBgTgNT06LAWzHeLHiwMUI6nBHNvE2qen9............
此 header 信息正在处理 Chrome 浏览器上的 ajax 请求。但同样的标记正在与另一个浏览器 Firefox 或 IE 一起使用。
这是否存在安全风险?如果有人知道我的令牌,那么监听网络就可以访问我的数据。我应该用 https 来防止这种情况吗?
是的,它正在按应有的方式工作。对于服务器来说,它来自哪个浏览器并不重要,只要令牌有效,它就会处理请求并发回响应。
要解决问题,您可以使用以下任何(或所有)策略:
- 加密请求和响应 (https)。
- 令牌寿命短(例如 30 分钟)并使用刷新令牌重新颁发令牌。
- 使用客户端 ID 和令牌。颁发特定于客户端 ID 的令牌。