Devo richiedere l'autenticazione per le risorse con una chiave hash? [duplicare]

1

Ho notato che le mie risorse private di Google Drive, ad esempio, anche se è impossibile "indovinare" la loro chiave hash e ottenerla (ad esempio tbEB6fQTqQcFAoRBXYvnpNVq9F3PUr_cs), tuttavia il server richiede l'autenticazione per accedere alla risorsa.

D'altra parte, in ICloud ho visto che mentre c'è un collegamento "esterno" che rappresenta ogni risorsa, è privato, ma l'indirizzo reale (da cui il lato client fa la risorsa) è privo di autenticazione.

Penso che abbia senso che non ci sia modo per un utente malintenzionato di ottenere la chiave in Query String, perché è crittografata da SSL.

La domanda è se c'è qualche timore e quindi implementare la convalida come fa Google. Sto parlando di un'applicazione in cui le risorse non sono esposte in alcun modo a un utente non autenticato.

    
posta dovid 08.11.2017 - 14:52
fonte

1 risposta

1

Come sottolineato nei commenti di @Sjoerd, l'uso di un URL per proteggere una risorsa in teoria può essere sicuro ma comporta diversi potenziali problemi. Se questa è la tua domanda, allora è un duplicato di Il token URL casuale è abbastanza sicuro per gli allegati di file e altri contenuti utente? .

Come risulta dai miei commenti, iCloud non utilizza semplicemente un URL. Il collegamento fornito conteneva diversi parametri di query tra cui un token di sessione, (relativamente breve) scadenza e firma.

    
risposta data 08.11.2017 - 17:22
fonte

Leggi altre domande sui tag