मैं पिछले कुछ महीनों में पार्स पर एक ऐप (आईओएस और वेब ऐप) बना रहा हूं और केवल यह पता चला है कि उनके सत्र टोकन कैसे काम करते हैं। यह मैं अब तक क्या सीखा है है:सत्र टोकन सुरक्षा parse.com
- प्रत्येक उपयोगकर्ता अपना स्वयं सत्र टोकन है
- टोकन उपयोगकर्ता क्रेडेंशियल (प्रमाणीकरण के लिए) कभी नहीं बदलने के लिए जब सर्वर
- टोकन का अनुरोध करने की प्रयोग किया जाता है परिवर्तन (यहां तक कि जब पासवर्ड रीसेट हो जाता है) और कभी भी समाप्त नहीं होता
- टोकन
- में लॉग इन होने पर क्लाइंट पक्ष पर स्थानीय रूप से संग्रहीत किया जाता है उपयोगकर्ता को Parse.User.become (sessiontoken, विकल्प) विधि का उपयोग करके लॉग इन किया जा सकता है, केवल सत्र टोकन
यह मेरे लिए बहुत असुरक्षित लगता है, या क्या मुझे कुछ याद आ रहा है? ऐसा लगता है कि अगर कोई इस टोकन को प्राप्त करने का प्रबंधन करता है तो उनके पास उपयोगकर्ता खाते में अनन्त पहुंच है, भले ही उपयोगकर्ता नाम और/या पासवर्ड बदल गए हों?
धन्यवाद,
मारियो
टोकन वास्तव में इस तरह से काम करता है, तो हाँ - यह घातक असुरक्षित लग रहा है। – Regent
सच; उन वेबपैप्स के बारे में सोचें जिनका आप उपयोग करते हैं, जहां कुकी बहुत ज्यादा काम करती है ?? –
आप पार्स-सर्वर कॉन्फ़िगरेशन –