@desposito

Безопастно ли я делаю oAuth?

Есть сервер авторизации auth.com, есть сайты a.com и b.com которые его используют.

История:
- клиент зашел на a.com
- нажал "Войти"
- попал на oAuth на сайте auth.com
- авторизировался
- попал назад
- все отлично

После этого как я понимаю у него появились куки на сайте auth.com, ведь если он зайдет на b.com ему уже не надо будет вводить логин/пароль, а идентифицируем на auth.com мы его по кукам...

Вывод: Если у пользователя угонят куки (не важно как, хоть из браузера копирнули) с auth.com то злоумышленники получат доступ ко всем подключенным сайтам (a и b в том числе).

Вопрос: Как минимизировать риски? Как сделать так что бы после получения куки не было доступа ко всем сервисам?
  • Вопрос задан
  • 97 просмотров
Решения вопроса 1
@BashkaMen
C# программист
можно попробовать привязать сессию к IP, при угоне куков на другом ПК они уже будут не актуальны
Ответ написан
Пригласить эксперта
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через TM ID
Похожие вопросы