作者chan15 (ChaN)
看板PHP
标题[请益] 自己刻类 oauth token 问题
时间Thu May 21 13:21:35 2015
各位好,今天我想要模仿类似 oauth 的功能,给予 a server key 跟 secret
a server 使用 key 跟 secret 演算出 key 以後跟 b server 要求事情
b server 验证无误後 response 一个 token 给 a server 当作这次的通行证
想问的是,如果 token 被撷取了,这样我不就可以拿这个 token 做你原本要做的事情吗
该怎麽二次验证 token 的归属?
--
※ 发信站: 批踢踢实业坊(ptt.cc), 来自: 61.219.144.228
※ 文章网址: https://webptt.com/cn.aspx?n=bbs/PHP/M.1432185697.A.422.html
1F:→ MOONRAKER: 截断token就只剩半截,用剩半截的token怎麽通过验证 05/21 13:56
2F:→ chan15: 我是指从网路截断啦 XD 05/21 14:47
※ 编辑: chan15 (61.219.144.228), 05/21/2015 14:48:07
3F:→ MOONRAKER: 那是「拦截」好吗! 05/21 14:54
4F:推 hiigara: 防御中间窃听你需要https。不过https本身又是一串学问 05/22 02:13
5F:→ hiigara: 也因为这样,OAuth规范是要求走https的 05/22 02:14
6F:推 hiigara: 至於「拿尚方宝剑的人是不是开封府来的」,好像没辙? 05/22 02:20
7F:→ hiigara: 或许可以把 token 加密,但怎麽加密才安全也是一门学问.. 05/22 02:21
8F:→ KawasumiMai: RSA? 05/22 15:30
9F:→ chan15: 请教一下,同网段可以透过封包拿到你的 post 内容吗 05/22 16:35
10F:推 LPH66: 你走 https 就拿不到, 因为 TLS 是应用层的东西 05/25 07:26
11F:→ LPH66: 解析封包只会得到加密後的资料 05/25 07:28