[請益] 自己刻類 oauth token 問題

作者chan15 (ChaN)

看板PHP

標題[請益] 自己刻類 oauth token 問題

時間Thu May 21 13:21:35 2015

各位好，今天我想要模仿類似 oauth 的功能，給予 a server key 跟 secret a server 使用 key 跟 secret 演算出 key 以後跟 b server 要求事情 b server 驗證無誤後 response 一個 token 給 a server 當作這次的通行證想問的是，如果 token 被擷取了，這樣我不就可以拿這個 token 做你原本要做的事情嗎該怎麼二次驗證 token 的歸屬？ -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 61.219.144.228 ※ 文章網址: https://www.ptt.cc/bbs/PHP/M.1432185697.A.422.html

→ MOONRAKER: 截斷token就只剩半截，用剩半截的token怎麼通過驗證 05/21 13:56

→ chan15: 我是指從網路截斷啦 XD 05/21 14:47

※ 編輯: chan15 (61.219.144.228), 05/21/2015 14:48:07

→ MOONRAKER: 那是「攔截」好嗎！ 05/21 14:54

推 hiigara: 防禦中間竊聽你需要https。不過https本身又是一串學問 05/22 02:13

→ hiigara: 也因為這樣，OAuth規範是要求走https的 05/22 02:14

推 hiigara: 至於「拿尚方寶劍的人是不是開封府來的」，好像沒轍? 05/22 02:20

→ hiigara: 或許可以把 token 加密，但怎麼加密才安全也是一門學問.. 05/22 02:21

→ KawasumiMai: RSA? 05/22 15:30

→ chan15: 請教一下，同網段可以透過封包拿到你的 post 內容嗎 05/22 16:35

推 LPH66: 你走 https 就拿不到, 因為 TLS 是應用層的東西 05/25 07:26

→ LPH66: 解析封包只會得到加密後的資料 05/25 07:28