0
這個問題可能聽起來很愚蠢,但自從我處理網絡上的安全問題以來已經很長時間了。Https - 令牌在互聯網斷開後無效?
如果用戶登錄並獲取有效期爲30分鐘的令牌。幾分鐘後,他斷開了互聯網。在30分鐘窗口關閉之前,他再次重新連接。前一個標記仍然有效嗎?
爲了清楚起見,身份驗證是否取決於令牌和用戶憑證或令牌和IP的組合?
A
回答
1
如果您確實沒有關於所使用技術的信息,也沒有辦法獲得它,我建議您試試看。
是用戶自己,嘗試斷開連接,試圖改變你的IP等
但最好的選擇還是TOT試圖讓使用何種技術暫停。
1
首先要說明的是:除了(可能的)IP地址更改之外,服務器無法知道客戶端已斷開/重新連接,或者始終保持連接狀態。
通常令牌沒有綁定到嚴格的IP地址。這是因爲有時後來的連接來自不同的IP地址(它可能通過負載均衡的代理服務器路由,即使在今天這個時代,一些人仍然在使用它們/一些ISP仍然在實施它們),或者其他方式可能會改變IP地址。話雖這麼說,但我的經驗是,在這些情況下,「子網」保持不變(所以在XXX.XXX.XXX.YYY中,YYY可能會在請求之間發生變化,X保持不變,不知道IPv6的ID如何)。所以,我知道一些系統將令牌綁定到24個最重要的位,以避免令牌劫持(如果有人因爲任何原因獲得了令牌,他們將需要從令牌有效的相同子網進行連接)。
最後這一切都取決於系統。應該很容易檢查。登錄到您的筆記本電腦上的網站。然後,打開瀏覽器,通過一些VPN連接(匿名者),通過手機網絡連接你的筆記本電腦,或者要求使用鄰居/本地咖啡店的WiFi,並看看你是否仍然登錄。
+1
如果需要行爲,那麼服務器可以通過定義一個在瀏覽器關閉時被刪除的cookie來檢查瀏覽器是否被關閉。 – 2013-03-07 12:13:08
相關問題
- 1. Android InputStream互聯網斷開連接
- 2. 安卓工作室無法在互聯網斷開後找到一些資源
- 3. 互聯網棋牌遊戲
- 4. 無效令牌
- 5. Google API 2 lega Oauth:「令牌無效 - AuthSub令牌無效。」
- 6. Python:無效令牌
- 7. 無效令牌網絡視圖
- 8. Google Oauth2聯繫人API返回無效令牌:無狀態令牌在一小時後過期
- 9. HTTPS網址無效
- 10. Trello api無效令牌
- 11. 無效的OAuth令牌
- 12. Dropbox無效訪問令牌
- 13. APNS:無效令牌(8)
- 14. 無效令牌雖然有效登錄
- 15. 打開互聯網連接
- 16. SignalR斷開連接不會被調用互聯網上斷開/重新連接
- 17. sessionErrorDomain:令牌無效。在api OpenTok Android SDK
- 18. 無效FormalParameterList,令牌上的語法錯誤「。」,{預計在此令牌之後
- 19. MVC 5,無效的令牌
- 20. 無效的令牌錯誤
- 21. SYMFONY2 - CSRF令牌無效Allwais
- 22. Joomla無效令牌消息
- 23. JWT令牌無效簽名
- 24. 的CSRF令牌無效
- 25. Facebook無效訪問令牌
- 26. Xml錯誤令牌無效
- 27. Symfony2 CSRF令牌無效
- 28. Facebook的API - 無效令牌
- 29. Facebook訪問令牌無效
- 30. 錯誤:無效令牌
有一個可能是「令牌」的事物數量以及斷開後它們是否有效取決於所使用的技術。你可能會添加一些關於你所關心的情況的細節,因爲我認爲這個問題在目前的形式下是不可回答的。 – ig0774 2013-03-07 09:20:31
不幸的是,我沒有更多的細節。我所擁有的僅僅是用戶憑證,當我登錄時,我會收到一個令牌給服務器。即使用戶離線,也不需要續訂令牌。續約僅基於令牌更新期限。 (30分鐘) – 2013-03-07 09:27:51
如果「令牌」與IP地址匹配,那麼當用戶重新連接到互聯網,並且(我假設)獲得新的IP地址時,舊的令牌-IP對將不會有效,因爲IP將會改變 – Iraklis 2013-03-07 09:37:11