authentication - SSL 是否足以保护请求及其 header ？

Question

我问这个是因为我正在开发一个应用程序，在该应用程序中，X-AUTH-TOKEN 可以从一个请求复制到另一个请求并冒充另一个人。这让我很紧张，但有人告诉我，因为我们将使用 HTTPS，所以我们不必担心任何事情。

所以，我的问题是:信任 SSL 是否足以防止窃取用于身份验证/ session 的 header ？

谢谢，

Answer 1

如果有人可以拦截流量，使用 HTTPS 加密确实可以防止他们窃取您的身份验证 token 。它不一定能防止中间人攻击，除非客户端启用对等证书检查。

This question from the security stackexchange描述了如何对 SSL 实现 MITM 攻击。如果我可以说服运行 HTTPS 的客户端连接到我的服务器，并且他们接受我的证书，那么我就可以窃取您的身份验证 token 并重新使用它。对等证书验证有时设置起来有点麻烦，但它可以让您更有可能连接到的人就是他们所说的人。

“足够好”是一个相对定义，取决于您的偏执程度。就我个人而言，我很高兴我的连接足够安全并启用了 HTTPS 和对等证书验证。

您的身份验证 token 可能也会超时，因此攻击窗口会受到时间限制。例如，OpenStack 身份验证 token 默认在 24 小时内有效，然后您需要获取一个新 token 。