使用httpOnly cookie進行設備注冊
[英]Using httpOnly cookies for device registration
問題描述
我有一個移動網站,作為我的安全措施的一部分,我希望用戶“注冊”他們的設備,因此我可以限制用戶可以訪問該網站的設備數量。 我的想法是,對於“新”設備,讓它們通過雙因素身份驗證過程,並將服務器發送的GUID存儲在將保存GUID的httpOnly cookie(通過SSL)中。 當用戶訪問該站點並使用他們的用戶名和密碼登錄時,服務器會將該cookie與他們在數據庫中的用戶記錄進行比較,如果匹配則讓他們登錄。
所以我的問題是:這是httpOnly cookies的有效/安全使用嗎? 我為“設備注冊”描述的方法是否有意義?
謝謝!
1 個解決方案
解決方案1
2 已采納 2013-08-27 11:01:07
這將阻止臨時用戶使用您的服務使用多個設備,但是很容易規避,因為他們可以將cookie復制到另一個設備。 HttpOnly標志只是限制JavaScript等客戶端腳本訪問cookie,它不會阻止用戶自己訪問cookie或以任何方式強制加密cookie。
您可以通過更多工程設計來使解決方案正常工作:為每個設備滾動令牌。 我的意思是它會在每次登錄時為每個客戶端提供一個新的設備ID,這種機制也會使舊的無效。 這將導致第二台具有原始cookie副本的設備無法再使用您的服務而無需單獨注冊並計算設備限制。
此外,根據所需的安全級別,使用GUID以外的其他內容可能更好,因為它們可能是可預測的:
使用Ajax從JavaScript訪問安全Cookie和僅HTTP Cookie時出現問題
[英]Problems using ajax to access secure and httponly cookies from javascript
使用 Axios 攔截器和 httpOnly cookies 請求自動刷新過期 JWT 令牌的正確工作流程
[英]Proper workflow for refreshing expired JWT token automatically on request using Axios interceptor and httpOnly cookies
Cookie 安全且 httpOnly 使用 React 和 Cookie-Storage
[英]Cookies secure and httpOnly with React and Cookie-Storage
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
相關問題
如何使用 JavaScript 讀取 HttpOnly cookies?
用javascript獲取HttpOnly cookie
刪除 httpOnly cookies - 快遞
使用Ajax從JavaScript訪問安全Cookie和僅HTTP Cookie時出現問題
使用NGINX在響應cookie上添加安全和httpOnly標志
HttpOnly Cookies 在 Web 檢查器中找不到
HttpOnly Secure Cookies 未發送
HttpOnly cookies 沒有隨請求發送到服務器
使用 Axios 攔截器和 httpOnly cookies 請求自動刷新過期 JWT 令牌的正確工作流程
Cookie 安全且 httpOnly 使用 React 和 Cookie-Storage
相關標簽