Procedura di accesso sicura

Naviga le tue risposte
-1

Ho implementato una procedura di accesso e sessione per un'applicazione web e mi chiedo se ciò che ho implementato sia abbastanza sicuro. L'autenticazione è basata sulla password di accesso su https. Se l'accesso è riuscito, il server restituisce un token generato casualmente che il server archivia e invia con qualsiasi richiesta di post https effettuata. Il server verifica che il token ricevuto sia quello generato per quell'ID utente. Il token ha un timeout. Questa procedura è abbastanza sicura? che debolezze ha?

Aggiorna il problema è che sembra che le sessioni non siano supportate da applicazioni mobili (ad esempio Android, iOS) e ho dovuto sviluppare il mio tipo di sessioni. Tuttavia, ho un po 'paura che non sia abbastanza sicuro.

    
posta lowcoupling 05.08.2014 - 15:31
fonte

1 risposta

0

Il tuo sistema di login sembra abbastanza buono da fornire un controllo di autenticazione di base, poiché stai descrivendo un sistema di autenticazione HTTP standard basato su cookie.

Tuttavia, la raccomandazione migliore è la seguente: è sempre meglio provare a utilizzare uno standard, in quanto il principale problema di sicurezza relativo ai sistemi di autenticazione / autorizzazione personalizzati è solitamente l'implementazione. Dovresti cercare di evitare di implementare i tuoi metodi di autenticazione quando hai un'alternativa.

Quindi, se stai usando qualsiasi framework per sviluppare la tua applicazione, prova ad usare i metodi di autenticazione forniti da essa!

    
risposta data 18.02.2016 - 08:17
fonte

Leggi altre domande sui tag

Come funziona l'autenticazione client SSL? , i simboli / etc vengono sfuggiti durante il tentativo di xss, altre alternative per questi simboli per eseguire l'attacco con successo?