Проверка подлинности на основе токенов в Django, токены отображаются в заголовке запроса http

Question

Проверка подлинности на основе токенов в Django, токены отображаются в заголовке запроса http

-1

Я реализовал аутентификацию на основе токенов, используя фреймворк django rest.
Но маркеры видны в заголовке HTTP-запросов при использовании инструментов разработчиков браузера. И я могу получить частные данные из API с помощью Postman, используя этот токен. Таким образом, я считаю, что это не безопасный способ аутентификации. Мои вопросы - это тоны, видимые в заголовке HTTP-запроса для каждой проверки подлинности на токенах. Если нет, скажите, пожалуйста, какой из них я должен использовать.

manjeet kumar 10 сен. 2017, в 17:53

Источник

1

Для повышения безопасности используйте https. Заголовки тоже зашифрованы.
Håken Lid 10 сен. 2017, в 16:29
0

Я использую https для сервера, но заголовок авторизации все еще хорошо виден в заголовке запроса http в консоли разработчика браузера. Я понимаю, что данные зашифрованы по сети, но как насчет локального доступа к заголовкам, они тоже могут быть зашифрованы.
manjeet kumar 10 сен. 2017, в 17:11
0

У вас должен быть способ аутентификации каждого запроса. Использование заголовка http с токеном не менее безопасно, чем использование файла cookie, который также должен передаваться при каждом запросе http.
Håken Lid 10 сен. 2017, в 17:17

Показать ещё 1 комментарий

Теги:

django

authentication

rest

django-rest-framework

access-token

1 ответ

Ещё вопросы

Для повышения безопасности используйте https. Заголовки тоже зашифрованы.
Я использую https для сервера, но заголовок авторизации все еще хорошо виден в заголовке запроса http в консоли разработчика браузера. Я понимаю, что данные зашифрованы по сети, но как насчет локального доступа к заголовкам, они тоже могут быть зашифрованы.
У вас должен быть способ аутентификации каждого запроса. Использование заголовка http с токеном не менее безопасно, чем использование файла cookie, который также должен передаваться при каждом запросе http.

kmcodes · Accepted Answer · 2017-10-23T08-11-00.000Z

Токены специфичны для этого сеанса входа пользователя. Если пользователь вошел в систему, а злоумышленник имеет физический доступ к устройству, он может получить доступ ко всем необходимым данным через ваш интерфейс. Таким образом, шифрование токена будет нецелесообразным, поскольку оно по-прежнему отправляется как строка для бэкэнд. Схожая с отправкой хэша пароля, а не самого пароля, хеш становится новым паролем. Лучшее, что вы можете сделать, это недействительные токены, если в течение заданного периода времени нет активности, например, 5 минут (используется банками/кошельками). Другой - отказ от пользовательского агента для запросов Postman. Или наиболее параноидальный, вы можете сопоставить отпечатки устройства (https://github.com/Valve/fingerprintjs) к токенам (во время входа в систему), а затем запретить любому другому устройству доступ к одному и тому же токену. Надеюсь, что это поможет, пока не слишком поздно.