PTT數位生活區 / PHP

[請益] 自己刻類 oauth token 問題

看板PHP作者 (ChaN)時間10年前 (2015/05/21 13:21), 10年前編輯推噓3(308)
留言11則, 5人參與, 最新討論串1/1
各位好,今天我想要模仿類似 oauth 的功能,給予 a server key 跟 secret a server 使用 key 跟 secret 演算出 key 以後跟 b server 要求事情 b server 驗證無誤後 response 一個 token 給 a server 當作這次的通行證 想問的是,如果 token 被擷取了,這樣我不就可以拿這個 token 做你原本要做的事情嗎 該怎麼二次驗證 token 的歸屬? -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.144.228 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1432185697.A.422.html
05/21 13:56, , 1F
截斷token就只剩半截,用剩半截的token怎麼通過驗證
05/21 13:56, 1F
05/21 14:47, , 2F
我是指從網路截斷啦 XD
05/21 14:47, 2F
※ 編輯: chan15 (61.219.144.228), 05/21/2015 14:48:07
05/21 14:54, , 3F
那是「攔截」好嗎!
05/21 14:54, 3F
05/22 02:13, , 4F
防禦中間竊聽你需要https。不過https本身又是一串學問
05/22 02:13, 4F
05/22 02:14, , 5F
也因為這樣,OAuth規範是要求走https的
05/22 02:14, 5F
05/22 02:20, , 6F
至於「拿尚方寶劍的人是不是開封府來的」,好像沒轍?
05/22 02:20, 6F
05/22 02:21, , 7F
或許可以把 token 加密,但怎麼加密才安全也是一門學問..
05/22 02:21, 7F
05/22 15:30, , 8F
RSA?
05/22 15:30, 8F
05/22 16:35, , 9F
請教一下,同網段可以透過封包拿到你的 post 內容嗎
05/22 16:35, 9F
05/25 07:26, , 10F
你走 https 就拿不到, 因為 TLS 是應用層的東西
05/25 07:26, 10F
05/25 07:28, , 11F
解析封包只會得到加密後的資料
05/25 07:28, 11F
更多 chan15 的文章
文章代碼(AID): #1LNMjXGY (PHP)
PHP 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 chan15 的文章
文章代碼(AID): #1LNMjXGY (PHP)