[英]Oauth2 Access Token Security Issue + angular 2
我將來自谷歌oauth2的訪問令牌存儲在本地存儲中。 現在,問題是,這是一個安全問題。 另一個人可以從我的瀏覽器復制本地存儲值並輸入URL來訪問我的帳戶。 我們如何解決這個問題,因為訪問令牌通常只存儲在本地或會話存儲中。 我們可以在說出60分鍾后退出,如下所示:
this.expiresTimerId = setTimeout(() => {
console.log('Session has expired');
this.doLogout(440);
}, 3600);
但是,該漏洞存在60分鍾,這可能會導致安全漏洞。 怎么避免這個?
我不知道任何簡單的方法來保護訪問令牌免受“其他人來到我的計算機並濫用我的開放會話”攻擊(訪問令牌用於綁定到客戶端IP地址)。
您可以通過使用sessionStorage而不是localStorage來改善這種情況 - 它會在關閉瀏覽器選項卡時刪除其值。
為了防止攻擊者造成任何傷害,所有執行數據更改或顯示敏感數據的操作都必須以與在線銀行系統用來執行此操作類似的方式重新進行身份驗證。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.