Ho sviluppato un'app (ios e web app) su Parse negli ultimi mesi e ho appena scoperto come funzionano i token di sessione. Questo è quello che ho imparato finora:sicurezza token di sessione parse.com
- Ogni utente ha la propria sessione di token
- Il token viene utilizzato per sostituire le credenziali dell'utente (per l'autenticazione) quando si effettua la richiesta al server
- Il token mai modifiche (anche quando la password viene ripristinata) e non scade mai
- Il token viene memorizzato localmente sul lato client quando si effettua l'accesso
- L'utente può accedere con il metodo Parse.User.become (sessiontoken, opzioni), con solo il gettone di sessione
Mi sembra molto insicuro o mi manca qualcosa? Sembra che se qualcuno riesce a ottenere questo token ha accesso eterno all'account degli utenti, anche se il nome utente e/o la password sono cambiati?
Grazie,
Mario
Se gettone funziona davvero in questo modo, allora sì - sembra mortale non protetta. – Regent
true; pensa alle webapps che usi dove il cookie fa più o meno la stessa cosa ?? –
è possibile utilizzare l'opzione revokeSessionOnPasswordReset nella configurazione parse-server –