会话令牌安全parse.com

Question

我在过去几个月一直在Parse上构建一个应用程序（ios和web应用程序），并且只发现了它们的会话令牌如何工作。这是我到目前为止了解到：

• 每个用户都有自己的会话令牌
• 令牌用于发出请求到服务器
• 的令牌时更换用户凭据（认证）永远更改（即使密码被重置）并且永不过期
• 令牌在登录时本地存储在客户端
• 用户可以使用Parse.User.become（sessiontoken，options）方法登录，只有会话令牌

这对我来说似乎很不安全，还是我错过了什么？似乎如果任何人设法获得这个令牌，即使用户名和/或密码被更改，他们也可以永久访问用户帐户。

感谢，

马里奥

Answer 1

看起来他们刚刚更新了他们的系统以使用可撤销的用户会话。很好的解析！

http://blog.parse.com/2015/03/25/announcing-new-enhanced-sessions

Answer 2

我也双重检查从REST API & Android客户端返回的会话令牌。这是相同的。即使在我更改密码后。

这绝对是一个潜在的安全问题。任何移动设备被盗用，如果会话未加密并且用户数据的安全性永远处于危险中，黑客可以获得会话令牌。

由于黑客可以永远使用来自任何客户端的会话令牌。你永远不会知道黑客什么时候会做坏事。 我非常关心这个问题。希望有人会解决它。

PS：嗨马里奥，我在Facebook开发者平台上登录了一个问题。

https://developers.facebook.com/bugs/309490399239393/

希望有人将跟踪它，并最终解决它。