Oauth2 访问令牌安全问题 + 角度 2

【问题标题】:Oauth2 Access Token Security Issue + angular 2Oauth2 访问令牌安全问题 + 角度 2
【发布时间】:2017-08-28 03:12:41
【问题描述】:

我将来自 google oauth2 的访问令牌存储在本地存储中。现在,问题是,这是一个安全问题。另一个人可以从我的浏览器复制本地存储值并输入 url 以访问我的帐户。我们如何解决这个问题,因为访问令牌通常只存储在本地或会话存储中。我们可以在 60 分钟后注销,如下所示:

this.expiresTimerId = setTimeout(() => {
            console.log('Session has expired');
            this.doLogout(440);
        }, 3600);

但是,该漏洞存在 60 分钟,这可能会导致安全漏洞。如何避免这种情况??

【问题讨论】:

    标签: angular oauth-2.0 local-storage access-token


    【解决方案1】:

    我不知道有任何简单的方法可以保护访问令牌免受“其他人进入我的计算机并滥用我的开放会话”攻击(访问令牌用于绑定到客户端 IP 地址)。

    您可以通过使用 sessionStorage 而不是 localStorage 来改善这种情况 - 它会在浏览器选项卡关闭时删除其值。

    为防止攻击者造成任何伤害,所有执行数据更改或显示敏感数据的操作都必须以与网上银行系统类似的方式重新进行身份验证。

    【讨论】:

      猜你喜欢
      • 2014-10-30
      • 2018-05-06
      • 2015-10-11
      • 1970-01-01
      • 2018-12-01
      • 2022-11-28
      • 2018-07-17
      • 2012-10-22
      • 2014-01-19
      相关资源
      最近更新 更多
      热门标签
      Java Python linux javascript Mysql C# Docker 算法 前端 SpringBoot Redis Vue spring 设计模式 .net core .net kubernetes c++ 数据库 数据结构 大数据 js 机器学习 微服务 Android Go 程序员 面试 JVM ASP.net core 云原生 人工智能 后端 PHP git CSS golang k8s Nginx Django mybatis 深度学习 多线程 React 架构 devops 爬虫 云计算 Spring Boot LeetCode