使用多个令牌的 localStorage 自动登录
localStorage Auto Login Using Multiple Tokens
我正在开发一个 Phonegap 移动应用程序,并允许用户在 localStorage 上的令牌与数据库中的一行匹配时自动登录。在每次登录或更新时,用户都会收到一个新的自动登录令牌并将其存储在本地。
作为更高级别的保护,我想将令牌分成 4 个令牌:3 个令牌包含部分令牌,而第 4 个包含 'code'。在后端,每个 'code' 将包含有关如何将 3 个标记连接或解析在一起的独特说明。然后将生成的字符串与数据库行进行比较。
$token1 = $_POST['token1'];
$token2 = $_POST['token2'];
$token3 = $_POST['token3'];
$token4 = $_POST['token4'];
if ( $token4 === '101' ) {
// Just a quick example
$requestToken = $token3 . $token1 . $token2;
}
为了提高我的应用程序的安全性,这是一个愚蠢的实现吗?
这样做没有多大意义。您的所有令牌都将以相同的方式受到保护,因此攻击者可以一次性窃取所有令牌。此外,特别是对于相对容易反编译的移动应用程序(但即使这并不容易),攻击者可以利用合理的资源找出这些东西是如何工作的。
所以对我来说,你想要达到什么目的,或者你想要保护什么威胁,我有点不清楚。好像是security by obscurity,应该避免
我正在开发一个 Phonegap 移动应用程序,并允许用户在 localStorage 上的令牌与数据库中的一行匹配时自动登录。在每次登录或更新时,用户都会收到一个新的自动登录令牌并将其存储在本地。
作为更高级别的保护,我想将令牌分成 4 个令牌:3 个令牌包含部分令牌,而第 4 个包含 'code'。在后端,每个 'code' 将包含有关如何将 3 个标记连接或解析在一起的独特说明。然后将生成的字符串与数据库行进行比较。
$token1 = $_POST['token1'];
$token2 = $_POST['token2'];
$token3 = $_POST['token3'];
$token4 = $_POST['token4'];
if ( $token4 === '101' ) {
// Just a quick example
$requestToken = $token3 . $token1 . $token2;
}
为了提高我的应用程序的安全性,这是一个愚蠢的实现吗?
这样做没有多大意义。您的所有令牌都将以相同的方式受到保护,因此攻击者可以一次性窃取所有令牌。此外,特别是对于相对容易反编译的移动应用程序(但即使这并不容易),攻击者可以利用合理的资源找出这些东西是如何工作的。
所以对我来说,你想要达到什么目的,或者你想要保护什么威胁,我有点不清楚。好像是security by obscurity,应该避免