Wpis z mikrobloga

Skopiuj link

21.12.2018, 18:09:55

#programowanie pytanie do ekspertów (albo chociaż tych, którzy liznęli trochę temat) na temat security - załóżmy, że chcę utworzyć hash użytkownika, który przy jego pomocy będzie mógł wykonywać restowo różne operacje. Taki hash tworzę np. w oparciu o jego email, imię i nazwisko - samo to będzie za mało, do tego powinienem dodać jakąś pilnie strzeżoną wartość, która będzie nikomu nie znana i będzie sprawiała, że hashe będą niemożliwe do zgadnięcia - czy tak się robi, czy tylko to sobie wymyśliłem?

swango

21.12.2018, 18:12:48 via Android

@htfhere a dlaczego nie chcesz wygenerować losowego klucza który byłby przypisany do użytkownika? Nie ma potrzeby nic hashować

D.....o

konto usunięte 21.12.2018, 18:13:35

@htfhere: poczytaj o hasłach klucz prywatny, klucz publiczny
chyba chcesz wyważać otwarte drzwi

GaiusBaltar

21.12.2018, 18:22:41

@htfhere: Najlepiej, tak jak pisał @swango - wygenerować losowy token i sprawdzać w backendzie. Zainteresuj się OAuth2.

d.....s

konto usunięte 21.12.2018, 18:23:14 via Wykop Mobilny (Android)

@htfhere: może sól?

htfhere

21.12.2018, 18:30:08

@swango: @Duze_p--o: @GaiusBaltar: @dagoththorus: Ogólnie sprawa ma się tak, że mam serwer restowy i apkę na androida, która odpytuje restowo serwer o dane i też je zapisuje. Podstawowa weryfukacja użytkownika odbywa się poprzez google sign in, tam się weryfikuje użytkownika w oparciu o token, który oni mi podają i zalecają nim weryfikować użytkownika na backendzie. Problem w tym, że ten token jest baaaardzo długi

D.....o

konto usunięte 21.12.2018, 18:32:36

@htfhere: a możesz nie szukać w bazie po tokenie, tylko po loginie/ID? Jak znajdziesz to porównasz token

GaiusBaltar

21.12.2018, 18:34:44

@htfhere: Jaka baza, i jaki indeks? Hashe/tokeny są dosyć unikatowe, więc nawet indeks na substring pierwszych 10-16 znaków powinien zrobić robotę.

htfhere

21.12.2018, 18:41:58

@GaiusBaltar: mysql i zwykły klucz główny, czyli rozumiem, że sugerujesz rozwiązanie: indeksować pierwsze x znaków i jak np zapytanie do bazy zwróci więcej niż jeden rekord to wtedy porównuję cały ciąg?

htfhere

21.12.2018, 18:42:55

@Duze_p--o: spoko ale powinienem te ID trzymać w pamięci telefonu użytkownika? A co jak zaloguje się z innego telefonu?

D.....o

konto usunięte 21.12.2018, 18:44:25

@htfhere: a ten user nie podaje żadnego ID/loginu? Po prostu otwiera aplikację?

mk321

21.12.2018, 18:49:16

spoko ale powinienem te ID trzymać w pamięci telefonu użytkownika? A co jak zaloguje się z innego telefonu?

@htfhere: przecież w Google Sign In dostajesz id użytkownika: https://developers.google.com/identity/sign-in/web/people
Zapisujesz to do bazy. A jak ktoś się loguje z innego telefonu to masz to samo id.

I przy logowaniu szukasz tego id, a potem sprawdzasz token dla konkretnego usera. Nie potrzebujesz żadnego indeksu na bazie do tokenów.

htfhere

21.12.2018, 18:49:18

@Duze_p--o: rejestruje się i loguje przez google sign in i właśnie to jest ten problem, że token weryfikujący jest tak cholernie długi

htfhere

21.12.2018, 18:50:27

@mk321: na samej górze, w tym linku co wysłałeś mamy " Do not use the Google IDs returned by getId() or the user's profile information to communicate the currently signed in user to your backend server. Instead, send ID tokens, which can be securely validated on the server." I właśnie te ID tokens są bardzo długie.

mk321

21.12.2018, 18:50:58

rejestruje się i loguje przez google sign in i właśnie to jest ten problem, że token weryfikujący jest tak cholernie długi

@htfhere: bo w tym tokenie masz zawarte różne informacje. Po to tylko to jest wszystko w tokenie, bo jest podpisane, żeby nikt nie mógł się podszyć (dałby ci czyjeś id i byś go wpuścił - jak jest w tokenie, to wiesz że to rzeczywiście jego id).

Poszukaj w dokumentacji

htfhere

21.12.2018, 18:52:45

@mk321: ok czyli pobieram użytkownika z bazy w oparciu o jego zwykłe id i wtedy przyrównuję ten zwykły token? Brzmi dobrze! Ok rzucę okiem na hasło token JWT

d.....s

konto usunięte 21.12.2018, 18:54:17

guid już nawet będzie unikatowy w skali świata, a długi nie jest.

mk321

21.12.2018, 18:57:49

na samej górze, w tym linku co wysłałeś mamy " Do not use the Google IDs returned by getId() or the user's profile information to communicate the currently signed in user to your backend server. Instead, send ID tokens, which can be securely validated on the server." I właśnie te ID tokens są bardzo długie.

@htfhere: https://developers.google.com/identity/sign-in/web/backend-auth

A modified client application can send arbitrary user IDs to your server to impersonate

mk321

21.12.2018, 18:59:40

ok czyli pobieram użytkownika z bazy w oparciu o jego zwykłe id i wtedy przyrównuję ten zwykły token? Brzmi dobrze!

@htfhere: o właśnie o to chodzi.

Ok rzucę okiem na hasło token JWT

JWT dałem tylko po to, żebyś zrozumiał jak działają te bezpieczne tokenty (ID token). Najwidoczniej w Googlu jest tak, że bezpieczny jest tylko ID token (odpowiednik JWT). A to getId to po prostu przesyłane plain textem bez

htfhere

21.12.2018, 19:06:12

@mk321:

JWT dałem tylko po to, żebyś zrozumiał jak działają te bezpieczne tokenty (ID token).

Jasne zrozumiałem, właśnie rzuciłem okiem i wszystko jasne (fajnie jest tu pokazane -> https://jwt.io/ )

Tak myślę, że nie ma na to żadnego ataku. Ale przemyśl to sobie jeszcze, wszystkie przypadki. Np. co jeśli podam czyjeś getId ale swój ID token? No nic, bo pod czyimś getId nie będzie mojego tokena (tylko żebyś się nie

Aktywne Wpisy

annlupin

annlupin +107

5 godz. i 33 min temu

Cześć. Szukam chłopaka, który szuka dziewczyny, z którą mógłby rozwijać się intelektualnie, ćwiczyć pamięć, myśleć, zadawać sobie pytania. Który jest fanatykiem myślenia, którego sensem życia jest ćwiczenie umysłu, myślenie, rozwój, nauka. Na pewno bardzo by mnie to cieszyło, gdybym widziała, że jest taka osoba, która też szuka takiej osoby drugiej - do ćwiczeń, do wspólnej korelacji. Wiadomo, rozwój jest czymś najfajniejszym, samemu jest trochę żmudnym ćwiczeniem, a z kimś z kim się