个人中心
文章发布
退出
作者热门文章
- html - 出于某种原因,IE8 对我的 Sass 文件中继承的 html5 CSS 不友好?
- JMeter 在响应断言中使用 span 标签的问题
- html - 在 :hover and :active? 上具有不同效果的 CSS 动画
- html - 相对于居中的 html 内容固定的 CSS 重复背景?
31
4
在使用 OIDC 服务器进行身份验证的单页应用程序 (JavaScript) 的上下文中,保持 session 事件(在过期后获得更多 token )的标准和推荐方法是使用 HttpOnly Cookie 并在 iframe 中执行静默更新.太好了,不涉及刷新 token ,因为浏览器无法保密。
现在似乎浏览器将阻止跨域 Cookie(Safari 和 Brave 已经这样做了,Chrome 似乎是下一个),所以如果服务器位于不同的域上,那么 future 的唯一方法似乎是使用 刷新 token 与 刷新 token 轮换 (可能还有 重用检测 ),这似乎可以缓解这些问题。但真的吗?
场景1) 刷新 token (RT1) 被盗,用户请求一个新的 token 并由于轮换而取回一个新的刷新 token (RT2)。 RT1 现在无效,攻击者无法使用。伟大的。
场景 2) 刷新 token (RT1)被盗,攻击者执行请求获取新 token (RT2),用户使用旧 token (RT1),现在一切都被丢弃,用户必须再次登录(重用检测)和攻击者的 token 也是无效的。伟大的。好吧,我在这里看到了一个问题(用户必须再次登录,但不知道为什么),但至少问题解决了。
场景 3) 这是我在任何地方都没有看到的场景。假设攻击者在不使用它们的情况下窃取了每个后续的 RT,因此它继续窃取 RT1。用户刷新,攻击者也窃取了 RT2。一切正常,因为攻击者没有使用 token ,但也许他将所有 token 发送到其他地方进行存储。最后,用户关闭窗口,攻击者提取了 RT1 和 RT2。此时,攻击者可以使用最新的 RT (RT2) 来冒充用户,直到用户返回该应用程序。假设他离开一周,攻击者拥有一周的新访问 token (他可以不断刷新 token )。直到最后,没有人注意到任何事情。使用 Cookie,攻击者只能在浏览器 session 期间进行操作,现在它有更多的时间来做这件事。
那么……带有重用检测的 RTR 真的足够安全吗?主要论点是“它总是一个风险/ yield 选择”,我明白,但怎么会是 2020 年,我们仍然在浏览器方面遇到问题?你看到我遗漏的第三个场景有什么问题吗?老实说, session cookie 一直是最好的选择,事实上浏览器会阻止我们在这种常见情况下使用它们,这让我发疯:)
谢谢。
附注。我将在此处复制我找到的有关此问题的一些资源:
最佳答案
这是一个有趣的领域,它通常是可用性、安全性、性能和成本之间的权衡。该行业的当前状态非常不令人满意,但我希望其中的一些内容可以帮助您了解主要问题。
在浏览器中刷新 token
在使用这个解决方案之前,我会确保授权服务器正确支持 OAuth 2.1 RTP recommendations - 没有多少授权服务器这样做。
然后我会确保我只在应用程序的内存中存储刷新 token ,因为不建议将 token 存储在本地存储中。这意味着:
关于security - 刷新 token 轮换 - 真的够了吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/64708231/
31
4
0
我们知道,当使用 hibernate 对数据库进行批量更新时(即使在 HQL 中),所做的更改不会复制到存储在当前 session 中的实体。 所以我可以调用 session.refresh 来加载对
我正在做一个项目,所有的东西都保存在事件中,所以服务器需要一些时间来响应新数据。我正在使用 Fluent 等待使用 ajax 的页面,但是这个不使用任何 ajax。所以我想刷新页面检查是否有新项目,如
我有一个从 Vector 创建的 JTable。 如何刷新 JTable 以显示添加到 Vector 的新数据? 最佳答案 当 TableModel 发生更改时,您的 JTable 应该会自动更新。我
有没有办法使用下面的代码来刷新已经存在的 div id,而不是刷新时间? window.onload = startInterval; function startInterval() {
我更新了在 Shiny Server 上运行的 Shiny 应用程序使用的 DataSet.RData。但是, Shiny 的应用程序仍在旧数据上运行。我已通过浏览器历史记录清除并重新启动浏览器几次,
我的应用程序中有一个无限滚动的网格面板(ExtJs 4.2.1),类似于 this example .用户可以单击刷新按钮,然后必须使用数据库中的数据更新网格的行。我在刷新按钮处理程序中调用 stor
我不知道这三种方法中哪一种最适合我。他们都为我工作。有谁知道刷新、更新和重画之间的区别吗? 最佳答案 根据在线文档: Refresh - 重新绘制屏幕上的控件。 Call Refresh method
有什么办法吗 ICollectionView.Refresh() 或者 CollectionViewSource.GetDefaultView(args.NewValue).Refresh(); 在
这个问题已经有答案了: Updating address bar with new URL without hash or reloading the page [duplicate] (4 个回答)
我有一个 javascript 设置超时以在 10 秒后关闭 div,并且我想在 div 关闭时添加页面刷新。我正在使用的代码如下。 var container_close_sec = "1
我有一组具有以下名称的页面.... update1.php update2.php update3.php update4.php update5.php update6.php update7.ph
如果是则触发js函数。我可以使一个复选框保持选中状态,并在页面刷新时检查值并选中“checked”,并提交以下内容... checked="checked" /> 你都不记得触发js函数。 这是我的
我正在尝试刷新 php 脚本以在数据库更新时显示更新的内容。我首先构建了我的 php,然后刷新代码,然后合并它们。但是,脚本不会更新。有谁知道为什么吗? $(document).ready
当我要删除的节点扩展集合类型时,Grails中有一个错误阻止我使用removeFrom *。直接从关联中删除节点不会更新二级缓存。 A hasMany B 有什么方法可以使关联缓存手动无效或强制重新加
我正在使用 hibernate 和 mysql 来抽象一个数据库,以便在 java 驱动的网站中使用。我使用 hibernate 很好地解决了所有查询,但似乎无法弄清楚如何使用它进行更新、插入和删除,
如何通过调用 oncreateview 方法重新创建 fragment ?我有一个 fragment ,用于通过表单插入新数据,单击按钮后,我想通过删除在 EditText 中输入的数据来重新创建 f
当我从一个到另一个时,我试图刷新我的观点。我知道我应该将刷新代码放在 viewWillAppear 中,但我不知道该放什么代码。 你们能帮帮我吗? 谢谢! 最佳答案 在您看来,请调用 setNeeds
我正在开发 iPhone 应用程序并希望使用: CFStreamCreatePairWithSocketToHost(NULL, url, port, &serverReadStream, &serv
看到我已经创建了一个用于登录用户的脚本。而且我还添加了设置选项卡,以便用户可以编辑他们的设置!但是当我尝试它时,mysql 表中的数据发生了变化,但配置文件中显示的用户名和用户电子邮件保持不变!当我注
好的。这就是它的样子。 当我启动应用程序时,我从服务器收到的第一件事是数据: {name: "test", type: "checkbox" checked: true, } 这使得其中一个复选框
我是一名优秀的程序员,十分优秀!