1. дома
  2. Вопрос и ответ
  3. Https - токен становится недействительным после отключения интернета?

Https - токен становится недействительным после отключения интернета?

2013-03-07 4 views
0

Вопрос может звучать глупо, но давно я занимался проблемами безопасности в Интернете.Https - токен становится недействительным после отключения интернета?

Если пользователь входит в систему и получает токен, действительный в течение 30 минут. Через несколько минут он отключит Интернет. Перед закрытием 30-минутного окна он снова подключается. Сохранен ли предыдущий токен?

Для большей ясности аутентификация зависит от комбинации токенов и учетных данных пользователя или токена и IP-адреса?

источник

2013-03-07 Abdalrahman Shatou

+1

Есть количество вещей, которые могут быть «токеном» и независимо от того, действительны ли они после разъединения, зависит от используемой технологии. Не могли бы вы добавить некоторые подробности о ситуации, о которой вы беспокоитесь, так как я не думаю, что этот вопрос отвечает в его текущей форме. – ig0774

+0

К сожалению, у меня нет более подробной информации. Все, что у меня есть, - это учетные данные пользователя, и при входе в систему я получаю токен для последующих запросов к серверу. Требуется НЕ обновлять токен, даже если пользователь переходит в автономный режим. Обновление основано только на периоде обновления токена. (30 минут) –

+1

Если «токен» соответствует IP-адресу, тогда, когда пользователь снова подключается к Интернету и (я предполагаю) получает новый IP-адрес, тогда старая пара токенов-IP не будет действительна , потому что IP-адрес изменится. – Iraklis

ответ

1

Если у вас действительно нет информации о используемой технологии и нет способа ее получить, я бы предложил просто попробовать ее.

Будьте пользователь самостоятельно, попробуйте отключить, попробуйте изменить свой IP и т.д.

Но лучше всего сделать ставку еще карапуз пытаются заполучить то, что технология используется.

источник

2013-03-07 10:06:26

1

Прежде всего, чтобы указать очевидное: кроме (возможного) изменения IP-адреса, сервер не может знать, что клиент отключен/подключен или просто остается подключенным все время.

Обычно токены не привязаны к строгим IP-адресам. Это связано с тем, что иногда последующие соединения поступают с разных IP-адресов (они могут быть маршрутизированы через прокси-серверы с балансировкой нагрузки, даже в этот день и в возрасте некоторые из них все еще используют их/некоторые из них по-прежнему реализуют их) или каким-либо другим способом, каким образом может измениться IP-адрес , При этом мой опыт в том, что в этих случаях «подсеть» остается неизменной (так что в XXX.XXX.XXX.YYY, YYY может меняться между запросами, X остается неизменным. Не знаете, как этот идентификатор для IPv6). Итак, я знаю, что некоторые системы связывают токен с 24 наиболее значимыми битами, чтобы избежать угона маркеров (если кто-то завладеет вашим токеном по какой-либо причине, им нужно будет подключиться из той же подсети, чтобы токен был действительным).

В конце концов, все зависит от системы. Это должно быть достаточно легко проверить. Войдите в свой ноутбук на сайт. Затем, оставив браузер открытым, подключитесь через какой-либо VPN (анонимайзер), подключите свой ноутбук через модем телефона или попросите использовать Wi-Fi соседей/местных кафе и посмотрите, не вошли ли вы в систему.

источник

2013-03-07 10:11:02 Claude

+1

Если поведение требуется, сервер может проверить, закрыт ли браузер, указав куки-файл, который удаляется при закрытии браузера. –

Смежные вопросы

 Смежные вопросы