È sicuro ottenere l'autenticazione TOKEN dal server con javascript?

0

È sicuro manipolare con il token di autenticazione all'interno del client javascript su https? Voglio passare quel token a websocket dopo il login.

$.getJSON(
$SCRIPT_ROOT + '/jscript_get_auth_token',
{},
function(data)
{
    // Extract token from data then manipulate .. pass to function etc.
    token = data.result
});
    
posta se7en 18.05.2016 - 17:33
fonte

2 risposte

1

il titolo della tua domanda è diverso dalla domanda nel tuo post.

è sicuro ottenere il token tramite JavaScript dal server, a seconda del metodo di convalida lato server in atto. supponendo che siano OK

manipolare il token in JavaScript e quindi inviarlo a un socket web dovrebbe andare bene fino a quando la validazione lato server è buona.

    
risposta data 19.07.2016 - 01:44
fonte
0

Se vuoi solo leggere dati aggiuntivi dal token (come JWT), non è una minaccia per la sicurezza. Poiché questa parte del token non è nemmeno crittografata. Se vuoi esporre alcune chiavi segrete codificandole o recuperandole da un server web per cambiare e creare un nuovo token, questo potrebbe essere un argomento di XSS e così via per esempio.

    
risposta data 18.05.2016 - 19:22
fonte

Leggi altre domande sui tag