我在过去几个月一直在Parse上构建一个应用程序(ios和web应用程序),并且只发现了它们的会话令牌如何工作。这是我到目前为止了解到:会话令牌安全parse.com
- 每个用户都有自己的会话令牌
- 令牌用于发出请求到服务器
- 的令牌时更换用户凭据(认证)永远更改(即使密码被重置)并且永不过期
- 令牌在登录时本地存储在客户端
- 用户可以使用Parse.User.become(sessiontoken,options)方法登录,只有会话令牌
这对我来说似乎很不安全,还是我错过了什么?似乎如果任何人设法获得这个令牌,即使用户名和/或密码被更改,他们也可以永久访问用户帐户。
感谢,
马里奥
如果令牌真正起作用的这样,那么是的 - 它看起来致命不安全。 – Regent 2014-09-03 05:05:01
true;想想你使用的cookie在哪里做几乎相同的事情? – 2014-09-03 07:17:30
您可以在分析服务器配置中使用revokeSessionOnPasswordReset选项 – 2017-10-25 17:47:34