Aktywne Wpisy
Tippler +72
źródło: temp_file5899261434736764850
Pobierz
Nigdy więcej zastępcą przewodniczącego komisji wyborczej. Stówa więcej, ale w #!$%@? do ogarnięcia i do rana z tobołami
#wybory
#wybory
źródło: temp_file3266597954078436381
Pobierz
Aktywne Znaleziska
Sygnaturą byłby skrót md5 timestampa + klucza prywatnego. Prawidłowa byłaby nie starsza niż 15 sekund.
Dzięki temu nawet gdyby ktoś podsłuchał komunikację i przejął token, nie mógłby wygenerować prawidłowego podpisu. A gdybym wykrył błędny podpis, wiedziałbym, że ktoś coś kombinuje i mógłbym zdezaktywować token.
Dobry pomysł?
#programowanie #kryptografia
Komentarz usunięty przez moderatora
https://jwt.io/
Pracujemy nad apką i część zespołu chce zaimplementować refresh token. Czyli specjalny token do uzyskiwania nowych, zwykłych tokenów. Ja nie chce refresh tokena bo widzę jak ktoś go przejmuje i generuje sobie bezkarnie nowe tokeny.
Jestem za tokenem ważnym np. tydzień ale właśnie z dodatkowym zabezpieczeniem w rodzaju sygnatury generowanej w kliencie.
Oba rozwiązania są do dupy bo gdy przejmiesz kontrolę nad javascriptem czy androidem to tak samo masz refresh
A wymyślając swoje: apka przy pierwszym logowaniu dostawałaby
secret,tokenirefresh_token, serwer znałbysecretktóry wygenerował razem z parą tokenów. I teraz,Możesz dokładniej napisać jaka funkcjonalność chcecie osiągnąć/co zoptymalizować tym regresu tokenem i przed czym się bronić?
@Jojne_Zimmerman: Brzmi jak jakaś zupełna głupota. Zaczynając od tego, że md5 się do niczego nie używa, bo jest złamany od ponad dekady, a jak wyślesz etherem md5(timestamp + secret) to ten secret jest w stanie odworzyć nawet dziecko z kalkulatorem.
Chociaż to i tak bez sensu, jak dobrze nie przymyślałeś przed czym ty w ogóle chesz się bronić i po co.