Autorizzazione di più dispositivi con token di aggiornamento

0

Non capisco assolutamente lo scenario di protezione quando un token di aggiornamento viene rubato. Per favore, spiega.

Diciamo che c'è questa situazione: l'utente è autorizzato in un'app mobile e questa app contiene due token: un token di accesso a vita breve e un token di aggiornamento a lunga vita. Ora, l'attaccante in qualche modo ruba entrambi i token dal dispositivo dell'utente e usa immediatamente il token di aggiornamento per ottenere una nuova coppia di token, rendendo invalidi i vecchi token. Dopodiché, quando l'utente tenta di utilizzare il suo vecchio token di aggiornamento, non sarà più valido e dovrà riconnettersi utilizzando la sua password.

A questo punto, il server dovrebbe invalidare tutti gli altri token di aggiornamento per impedire l'ulteriore utilizzo da parte di un utente malintenzionato. Ma in che modo implementare più autorizzazioni di dispositivo per un utente, se è disponibile un solo token di aggiornamento in una sola volta?

    
posta Alek Depler 21.07.2018 - 14:45
fonte

1 risposta

1

Nello scenario presentato, è possibile concedere all'utente token distinti per ciascun dispositivo autenticato e ciascun dispositivo avrà la propria identità univoca. In questo modo, applicheresti tale limite "one-per" ai dispositivi e degli utenti anziché agli utenti, in modo che possano autorizzare più dispositivi.

    
risposta data 21.07.2018 - 14:56
fonte

Leggi altre domande sui tag