SORU
1 Ocak 2014, ÇARŞAMBA


Apı WS DİNLENME ile AngularJS, oturum yönetimi ve güvenlik sorunları ile kimlik doğrulaması

Web Uygulama Geliştirme ... ... her şeyin güvenli olduğundan emin değilim angularJS (istemci ve sunucu tarafı) ile başladım. Güvenlik tek oturum açma sayfası dayanır, eğer kimlik bilgileri Tamam işaretli ise, benim sunucu bir benzersiz özel zaman geçerliliği ile token gönderir. Tüm diğer DİNLENME apı bu token ile erişilebilir. Uygulama (client) benim için Gözat giriş noktası örn: https://www.example.com/home.html kullanıcı kimlik bilgileri eklemek ve benzersiz bir belirteç almak geri. Bu eşsiz token AES veya diğer güvenli teknikler ile server veritabanında saklanır, açık biçimde saklı değildir.

Şu andan itibaren, benim AngluarJS uygulaması bu simge, tüm DİNLENMEK için Apı maruz kimliğini doğrulamak için kullanır.

Özel bir http tanımlama bilgisi token geçici deposunda düşünüyorum; sunucu kimlik bilgilerini doğrular temelde, ne zaman geri gönderir yeni bir çerez Ex.

app-token : AIXOLQRYIlWTXOLQRYI3XOLQXOLQRYIRYIFD0T

Kurabiye secure ve HTTP Only bayrakları ayarlayın. Http protokolü doğrudan yeni kurabiye yönetin ve saklayın. Art arda gelen istekleri sunuluyor cookie ile yeni bir parametre gerek kalmadan yönetmek ve mağaza ile javascript; her istek, sunucu geçersiz token ve oluşturur yeni bir tane gönderir ve geri istemci -->tek bir simge ile replay saldırıları önlemek.

İstemci bir HTTP durum aldığında401 yetkisizherhangi bir diğerlerinden tepki Apı, açısal denetleyicisi tüm çerezleri temizleyin ve giriş sayfasına kullanıcı yönlendirme.

Diğer özelliklerini dikkate almak zorundayım? LocalStorage yeni bir cookie içinde veya token depolamak için daha iyi? Eşsiz güçlü belirteç oluşturmak için nasıl bir ipucu?

Düzenle (geliştirmeler):

  • HMAC-SHA256 oturum olarak token jeneratör kullanmak için, 20 dakika geçerliliği ile karar verdim. 32byte rasgele bir GUID oluşturmak, bir zaman damgası eklemek ve 40 bitlik bir anahtar vererek KARMA SHA256 hesaplamak. İmkansız token geçerlilik süresi oldukça az olduğundan çarpışma elde etmek için.
  • Kurabiye domain and path güvenliği artırmak için özellikleri olacak.
  • Çoklu Oturum Açma verilmez.

CEVAP
16 Ocak 2014, PERŞEMBE


Eğer https sunucusu konuşursan, tekrar saldırıları ile ilgili bir sorun yok.

Benim önerim kaldıraç sunucunun güvenlik teknolojisi. Örneğin, JavaEE out-of-the-kutu açma mekanizması vardır, rol tabanlı kaynakları koruma (DİNLENME bitiş noktası) vb bildirimsel. Bu tanımlama ile yönetilen ve depolama ve son kullanma hakkında endişelenmenize gerek yok. Sunucu/çerçeve zaten sana verdiği göz atın.

Eğer daha geniş bir kitleye (size hizmet veren tarayıcı tabanlı UI için özellikle) ya da diğer tür istemcileri (örneğin mobil uygulama) API göstermek için planlıyorsanız, OAuth benimseyerek düşünün.

Başımı Açısal tepesinden aşağıdaki güvenlik özellikleri (- onlar dışarı pop gibi daha ekleyin):

CSRF/XSRF saldırı

Açısal CSRF koruma kutusu mekanizmayı destekler. 2* docs*bak. Sunucu tarafında destek gereklidir.

Güvenlik Politikası İçerik

Açısal CSP etkinleştirildiğinde uygulanmasını daha sıkı JavaScript çalışma zamanları ile uyumlu olduğunu ifade değerlendirme modu vardır. 3* docs*Check out.

Sıkı Bağlamsal Kaçıyor

Açısal $sce yeni özellik (1.2 ) vb XSS saldırılarına karşı UI sağlamlaştırmak için kullanın. Biraz daha güvenli ama daha az kullanışlı. 13 ** doktorlar göz atın.

Bunu Paylaş:
  • Google+
  • E-Posta
Etiketler:

YORUMLAR

SPONSOR VİDEO

Rastgele Yazarlar

  • FrameCityJackal

    FrameCityJac

    4 Aralık 2010
  • mobilenet.cz

    mobilenet.cz

    26 NİSAN 2008
  • tinycammonitor

    tinycammonit

    14 Aralık 2010