會話令牌安全parse.com

Question

我在過去幾個月一直在Parse上構建一個應用程序（ios和web應用程序），並且只發現了它們的會話令牌如何工作。這是我到目前爲止瞭解到：

• 每個用戶都有自己的會話令牌
• 令牌用於發出請求到服務器
• 的令牌時更換用戶憑據（認證）永遠更改（即使密碼被重置）並且永不過期
• 令牌在登錄時本地存儲在客戶端
• 用戶可以使用Parse.User.become（sessiontoken，options）方法登錄，只有會話令牌

這對我來說似乎很不安全，還是我錯過了什麼？似乎如果任何人設法獲得這個令牌，即使用戶名和/或密碼被更改，他們也可以永久訪問用戶帳戶。

感謝，

馬里奧

Answer 1

看起來他們剛剛更新了他們的系統以使用可撤銷的用戶會話。很好的解析！

http://blog.parse.com/2015/03/25/announcing-new-enhanced-sessions

Answer 2

我也雙重檢查從REST API & Android客戶端返回的會話令牌。這是相同的。即使在我更改密碼後。

這絕對是一個潛在的安全問題。任何移動設備被盜用，如果會話未加密並且用戶數據的安全性永遠處於危險中，黑客可以獲得會話令牌。

由於黑客可以永遠使用來自任何客戶端的會話令牌。你永遠不會知道黑客什麼時候會做壞事。 我非常關心這個問題。希望有人會解決它。

PS：嗨馬里奧，我在Facebook開發者平臺上登錄了一個問題。

https://developers.facebook.com/bugs/309490399239393/

希望有人將跟蹤它，並最終解決它。