作者chan15 (ChaN)
看板PHP
標題[請益] 自己刻類 oauth token 問題
時間Thu May 21 13:21:35 2015
各位好,今天我想要模仿類似 oauth 的功能,給予 a server key 跟 secret
a server 使用 key 跟 secret 演算出 key 以後跟 b server 要求事情
b server 驗證無誤後 response 一個 token 給 a server 當作這次的通行證
想問的是,如果 token 被擷取了,這樣我不就可以拿這個 token 做你原本要做的事情嗎
該怎麼二次驗證 token 的歸屬?
--
※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.144.228
※ 文章網址: https://webptt.com/m.aspx?n=bbs/PHP/M.1432185697.A.422.html
1F:→ MOONRAKER: 截斷token就只剩半截,用剩半截的token怎麼通過驗證 05/21 13:56
2F:→ chan15: 我是指從網路截斷啦 XD 05/21 14:47
※ 編輯: chan15 (61.219.144.228), 05/21/2015 14:48:07
3F:→ MOONRAKER: 那是「攔截」好嗎! 05/21 14:54
4F:推 hiigara: 防禦中間竊聽你需要https。不過https本身又是一串學問 05/22 02:13
5F:→ hiigara: 也因為這樣,OAuth規範是要求走https的 05/22 02:14
6F:推 hiigara: 至於「拿尚方寶劍的人是不是開封府來的」,好像沒轍? 05/22 02:20
7F:→ hiigara: 或許可以把 token 加密,但怎麼加密才安全也是一門學問.. 05/22 02:21
8F:→ KawasumiMai: RSA? 05/22 15:30
9F:→ chan15: 請教一下,同網段可以透過封包拿到你的 post 內容嗎 05/22 16:35
10F:推 LPH66: 你走 https 就拿不到, 因為 TLS 是應用層的東西 05/25 07:26
11F:→ LPH66: 解析封包只會得到加密後的資料 05/25 07:28