[英]Is it secure to send the access_token as part of the websocket url query params?
在使用Webhooks在Ably Realtime中獲得有關頻道生命周期事件的通知時,將access_token作為websocket url查詢參數的一部分發送是否安全?
(免責聲明:我是Ably的開發倡導者,並在Stack Overflow上發布並自行回答了一個常見的支持問題 ,以便我們的用戶可以更輕松地找到它)
從安全角度來看,訪問令牌的存儲位置並不重要。 在普通的HTTP請求中,它將存儲在標頭中,或者在建立Websocket連接之后存儲在消息中。 但是,許多用於客戶端的Websocket不支持客戶端標頭,攻擊者可以平等地訪問這兩個標頭,這些攻擊者可以檢查流量。 如今,連接默認為通過TLS進行連接,因此從外部無法訪問查詢參數,也無法訪問消息的內容。
傳統上,在查詢參數中擁有憑據被認為是一種差勁的做法,因為URL可以存儲在代理日志,瀏覽器歷史記錄等位置。但是,這兩個問題都不適用於websocket (瀏覽器不會保留連接歷史記錄網頁),並且當存在TLS隧道時,代理無法訪問該URL。 當默認情況下使用非TLS交互時,會出現此問題。 為了進行比較,大多數OAuth流會導致使用access_token查詢參數進行端點訪問。
將Laravel護照access_token從Laravel刀片服務器傳遞到React組件的最安全方法
[英]Most secure way to pass Laravel passport access_token from Laravel blade to React component
如何使用實例給出的相同 access_token 在 canvas lms 中保護我的 lti 工具?
[英]How I can secure My lti Tool in canvas lms using the same access_token given by instance?
如何在 HttpOnly Secure cookie 中存儲 OWIN OAuth 2 access_token?
[英]How do I store an OWIN OAuth 2 access_token in an HttpOnly Secure cookie?
手動更新 JWT access_token 數據是否被視為不好的做法?
[英]Is manualy updating JWT access_token data considered a bad practice?
如何在sencha touch客戶端應用程序中保存access_token
[英]How to hold access_token in sencha touch client application
將OAuth access_token暴露給用戶有哪些安全漏洞?
[英]What are the security flaws of exposing OAuth access_token to a user?
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.
