ABA


"שאלה על SPA ואבטחה של API"
גירסת הדפסה        
קבוצות דיון פיתוח, תיכנות ובניית אתרים נושא #22300 מנהל    סגן המנהל    מפקח   Winner    צל"ש   מומחה  
אשכול מספר 22300
Mr Andersson
חבר מתאריך 19.3.02
6234 הודעות, 1 פידבק
   15:25   14.02.19   
אל הפורום  
  שאלה על SPA ואבטחה של API  
 
   אני רוצה לבנות SPA שהוא סוג של dashboard, העניין הוא שזה צריך להיות מאובטח.

לגבי עמוד login אין פה שאלה על הביצוע, טופס פשוט עם POST לשרת.
בתוך הdashboard נתקלתי בבעיה מחשבתית, הרי כל הנתונים מגיעים מאחורי הקלעים דרך API שהfront-end מתשאל (חשבתי לאבטח בעזרת token), ככה שכל הבקשות הן כביכול "שקופות" - אם מישהו מבחוץ משיג את הtoken הוא יכול לעשות מה שהוא רוצה.

זה לא קצת מסוכן? אולי אני מפספס פה משהו?

תודה!

http://i60.tinypic.com/35aowg8.jpg


                                שתף        
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

  האשכול     מחבר     תאריך כתיבה     מספר  
  זה לא מסוכן כי בד''כ VeNom  14.02.19 15:30 1
     דרך פשוטה לפתור את זה CaTz 25.02.19 09:17 2
         כן זה מה שעשיתי בסוף, תודה! Mr Andersson 25.02.19 11:56 3

       
VeNom  לחץ כאן להצגת דירוג המשתמש
חבר מתאריך 7.6.02
7922 הודעות, 1 פידבק
   15:30   14.02.19   
אל הפורום  
  1. זה לא מסוכן כי בד''כ  
בתגובה להודעה מספר 0
 
   השרת מוריד TOKEN שהוא בוחר וחותם או מצפין אותו (JWT הוא אחד מהשיטות המובילות כיום).
אפשר בהחלט לעלות את רמת האיבטוח של הטוקן בזה שאתה תייצר מעל הטוקן עוד שכבה של לוגיקה אם אתה באמת מרגיש לא בטוח או לחילופין, לחפש מנגנון הצפנה\חתימה שיותר קשים לפריצה.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
CaTz
חבר מתאריך 2.10.04
14537 הודעות
   09:17   25.02.19   
אל הפורום  
  2. דרך פשוטה לפתור את זה  
בתגובה להודעה מספר 1
 
   היא להוסיף לjwt את הip של היוזר.

יהיה הרבה יותר קשה לזייף את הip, ואי אפשר לשנות אותו בתוך הטוקן מבלי לחתום אותו מחדש.

אותו דבר, במקום ip, אתה יכול לשמור hash, של ua + ip.

ואז לבדוק האם הua +ip של היוזר שווים להאש ששמור.

ככה, אם אני אגנוב לך את הטוקן, אין לך מה לעשות איתו.


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד
Mr Andersson
חבר מתאריך 19.3.02
6234 הודעות, 1 פידבק
   11:56   25.02.19   
אל הפורום  
  3. כן זה מה שעשיתי בסוף, תודה!  
בתגובה להודעה מספר 2
 
   @CaTz@

http://i60.tinypic.com/35aowg8.jpg


                                                         (ניהול: מחק תגובה)
מכתב זה והנלווה אליו, על אחריות ועל דעת הכותב בלבד

תגובה מהירה  למכתב מספר: 
 
___________________________________________________________________

___________________________________________________________________
למנהלים:  נעל | תייק בארכיון | מחק | העבר לפורום אחר | מחק תגובות | עגן אשכול
       



© כל הזכויות שמורות ל-רוטר.נט בע"מ rotter.net