Aktywne Wpisy
theOstry +60
#kredythipoteczny #nieruchomosci #inwestowanie
Ostatnio gadałem ze znajomymi. Łączny przychód na rękę 25k dla parki. Kredyt rata 7k, do spłaty jeszcze 950k. Dwa auta w lizing 4k. Średnio miesięczny rachunek za grzanie chaty 2k (pompa ciepła, brak fotowoltaiki) resztę #!$%@? na wakacje co kwartał. Nie nadplacili kredytu o złotówkę, nie założyli fotowoltaiki. Zero oszczędności. Ja #!$%@? jak można tak żyć, wystarczy, że jednej osobie podwinie się noga.
Ostatnio gadałem ze znajomymi. Łączny przychód na rękę 25k dla parki. Kredyt rata 7k, do spłaty jeszcze 950k. Dwa auta w lizing 4k. Średnio miesięczny rachunek za grzanie chaty 2k (pompa ciepła, brak fotowoltaiki) resztę #!$%@? na wakacje co kwartał. Nie nadplacili kredytu o złotówkę, nie założyli fotowoltaiki. Zero oszczędności. Ja #!$%@? jak można tak żyć, wystarczy, że jednej osobie podwinie się noga.
methhod +104
Aktywne Znaleziska
Wczoraj pisałem odnośnie moich problemów z zabezpieczeniem przesyłania danych do serwera restowego. (http://www.wykop.pl/wpis/14163195/mirki-programisty-potrzebuje-powaznej-porady-na-pr/)
Przeczytałem wspomniany artykuł w wyżej wymienionym linku (http://code.tutsplus.com/tutorials/token-based-authentication-with-angularjs-nodejs--cms-22543) i pojawiło mi się kilka problemów i myśli związanych z tokenowym zabezpieczaniem połączenia.
W skrócie, w wyżej wymienionym artykule, kolega robi tak, że podczas zakładania konta generuje sobie token, który zawiera zahashowane informacje o loginie, haśle i coś tam jeszcze. I przy każdym requescie informacje usera (login, o zgrozo hasło jako zwykły text) + ten token (cały czas ten sam) wędruje sobie od serwera do clienta.
I moje problemy właśnie tutaj się zaczynają. Jakie to jest zabezpieczenie? Jeśli ktoś przechwyci token to ma wszystko, ma dostęp do serwera bo ten go uwierzytelni. To tak jakbym przesyłał login i hasło jawnie i ktoś to przechwycił. Moim zdaniem użycie tokena w taki sposób mało zmienia. Wygląda po prostu trochę groźniej.
Być może jestem nadwrażliwy, czegoś nie wiem i jestem głupcem, ale nurtuje mnie to bardzo.
Stąd moje pytanie jak powinno się wykorzystywać tokeny do tego aby było bezpiecznie. Aby przechwycenie tokena nie powodowało, że posiadanie jednego tokena da możliwość dostępu do danego konta praktycznie na zawsze.
Czy może ja z braku swojej wiedzy nie wiem, że nie da się tak przechwycić takiego tokena. (Chociaż w to wątpie)
Czy ktoś też miał takie "rozterki"? Może ktoś poratuje jakimś linkiem, który by to dobrze tłumaczył?
#programowanie #webdev
Mam taki pomysł jak to zrobić.
Przy logowaniu generować taki token z jakimś losowym dodatkiem do danych. To zapisać tymczasowo w bazie, i przesłać do clienta. I tam w jakimś czasie to sprawdzać.
I np ustawić, że token ma być ważdny godzine. Tylko nie wiem co zrobić jeśli użytkownik będzie miał otwartą stronę i przez godzine nie będzie nic tam robił. I po godzinie sobie
A zmienny token na zasadzie działania wyżej wymienionej?
Krótki czas ważności? Masz na myśli to, że jeden token jest ważny np. 5 min? A co ma się dziać po upływie ważności?
I jeszcze jedno pytanie. Jeśli zrobię tak, że przy każdym zapytaniu będę generował nowy token. To czy może zajść taka sytuacja:
A powiedz mi jeszcze o tych kluczach. Bo z tego co wiem publiczny szyfruje a prywanty rozszyfrowuje. To jak to wykorzystać w praktyce? Client szyfruje i przesyła? A co z komunikacją z serwera -> client?
Nic nie sugeruje, mogę się mylić itp, tak tylko pytam dla lepszego zgłębienia tematu;)