1. 首頁
  2. 問答
  3. 一次創建的Web Api令牌正在處理所有請求

一次創建的Web Api令牌正在處理所有請求

2015-02-09 62 views
0

我想要問Web基於Web令牌的認證。作爲一個用戶,我在web api上創建了一個令牌。令牌鏈接是http://mydomain/token此請求正在返回一個長令牌字符串。我使用此令牌來獲得這樣的安全數據:一次創建的Web Api令牌正在處理所有請求

http://mydomain/orders Accept:application/json Content-type:application/json Authorization: Bearer lksKaBgTgNT06LAWzHeLHiwMUI6nBHNvE2qen9............

這頭信息正在與Chrome瀏覽器的AJAX請求。但同樣的道理是使用其他瀏覽器Firefox或IE。

這是一個安全隱患?如果有人知道我的網絡令牌可以訪問我的數據。我應該使用https阻止這種情況嗎?

來源

2015-02-09 barteloma

+1

是的,這是一個安全風險 - 你一定要通過SSL連接來保證這一點。 – heymega 2015-02-09 09:49:08

回答

0

是的,它的工作方式應該如此。對於服務器來說,它來自哪個瀏覽器並不重要,只要令牌有效,它就會處理該請求併發送回應。

爲了解決這個問題,可以使用以下策略的任何(或全部):

  1. 加密的請求和響應(HTTPS)。
  2. 擁有小的令牌生存期(如30分鐘)並使用刷新令牌重新發放令牌。
  3. 與令牌一起使用客戶端ID。頒發特定於客戶端ID的令牌。

來源

2015-02-09 11:06:14 TejSoft

相關問題

 相關問題