保存的令牌安全风险。 token/refresh 代币安全吗?
Saved token security risk. Is token/refresh token safe?
通过 OAuth,我可以获得一个访问令牌并保存在我的数据库中(或者使用刷新令牌并执行相同的操作)。但这不是安全风险吗?因为任何内部开发人员都可以使用它并在客户不知情的情况下访问数据。早些时候我们有密码时,由于密码是散列的,开发人员无法使用它。
例如:公司某应用授予的O365邮件访问权限。开发人员阅读了另一名员工的电子邮件。
如果存在这样的内部安全威胁,您可以在存储令牌之前对其进行散列或加密,基本上采用与密码相同的方法。当然,这只有在开发人员无法访问加密密钥或哈希密钥时才有意义...
访问令牌通常不存储在 OAuth 的数据库中。
刷新令牌是,但是当客户端想要使用刷新令牌时,它还需要客户端ID和密码。客户端密码就像一个密码,在客户端向授权服务器注册时提供给客户端,并且应该在数据库中存储盐渍和散列。
因此,流氓开发人员不能只是从数据库中窃取刷新令牌并使用它来冒充客户端。
通过 OAuth,我可以获得一个访问令牌并保存在我的数据库中(或者使用刷新令牌并执行相同的操作)。但这不是安全风险吗?因为任何内部开发人员都可以使用它并在客户不知情的情况下访问数据。早些时候我们有密码时,由于密码是散列的,开发人员无法使用它。
例如:公司某应用授予的O365邮件访问权限。开发人员阅读了另一名员工的电子邮件。
如果存在这样的内部安全威胁,您可以在存储令牌之前对其进行散列或加密,基本上采用与密码相同的方法。当然,这只有在开发人员无法访问加密密钥或哈希密钥时才有意义...
访问令牌通常不存储在 OAuth 的数据库中。
刷新令牌是,但是当客户端想要使用刷新令牌时,它还需要客户端ID和密码。客户端密码就像一个密码,在客户端向授权服务器注册时提供给客户端,并且应该在数据库中存储盐渍和散列。
因此,流氓开发人员不能只是从数据库中窃取刷新令牌并使用它来冒充客户端。