[英]Is Google Identity Platform authentication more vulnerable than traditional HTTP only cookies?
我正在嘗試使用諸如 Firebase 和 Google 身份平台 (GIP) 之類的解決方案來了解無服務器 web 應用程序的身份驗證架構。 在基於服務器的架構中,我們通常設置一個僅包含身份驗證詳細信息的 HTTP cookie,以防止 XSS 攻擊或惡意 chrome 擴展程序讀取此信息。
在我對 GIP 的實驗中,我注意到 SDK 將來自 GIP 的響應存儲在 IndexedDB 中,並且可以直接提取訪問令牌、刷新令牌和其他有用的用戶詳細信息。 如果我理解正確,有權訪問這些令牌的演員可以冒充用戶。
如果代碼注入是一種可行的攻擊媒介,這是否會使這種方法比基於服務器的方法更容易受到攻擊?
編輯
我在官方文檔中找到了這篇文章,討論了 HTTP 僅 session cookies 對 ID 令牌的好處,並展示了如何創建它們。
如建議的那樣,約翰·漢利在上面的評論中請將此問題移至 Stack Exchange Information Security
同樣正如坦率的建議,請查看 Firebase App Check及其服務器端安全規則。
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.