Как безопасно передавать сессионный токен?

Question

TheGhost902 @TheGhost902

Как безопасно передавать сессионный токен?

К примеру, есть блог, пользователь заходит на страницу авторизации, заполняет форму, отправляется POST запрос с логином и паролем в формате json, сервер пробегается по базе, если есть такой пользователь формирует сессионный токен и отравляет его обратно пользователю, дальше пользователь делает GET запрос с этим токеном, вопрос в том как БЕЗОПАСНО передать токен обратно на сервер в GET запросе?

Вопрос задан более трёх лет назад
202 просмотра

3 комментария

Подписаться 1 Простой 3 комментария

Lynn «Кофеман» @Lynn

В заголовках. В частности в куках, например.

Написано более трёх лет назад
lamer350 @lamer350

А какая разница в каком виде вы храните и отправляете ключ то по сути? От злых глаз на фронте вы ничего не спрячите, все что вы отдали браузеру - можно считать открытым по умолчанию. С помощью просто снифера любой школьник получит и POST и GET без проблем.

Написано более трёх лет назад
Robur @Robur

Определите что значит "безопасно".
Начните с SSL, чтобы никто третий не увидел
Передавайте так чтобы в истории не было - куки и заголовки
Сделайте токену ограничение по сроку жизни. Или сделайте его одноразовым.
Привяжите к IP.
Проверьте referrer.
И кучу других способов, все зависят от того что вы подразумеваете под словом "безопасно". А то может быть что и ответ - никак.

Написано более трёх лет назад

Пригласить эксперта

Ответы на вопрос 1

Комментировать

Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации

Похожие вопросы

JavaScript

+3 ещё

Простой
Как стилизовать пагинацию постов по определённому признаку?
- 1 подписчик
- 14 часов назад
- 54 просмотра
1

ответ
JavaScript

+2 ещё

Простой
Как отобразить массив из элементов?
- 1 подписчик
- 14 часов назад
- 76 просмотров
0

ответов
JavaScript

+1 ещё

Простой
Неизвестные скрипты на сайте (plupload и moxie). Для чего?
- 1 подписчик
- 19 часов назад
- 103 просмотра
1

ответ
JavaScript

+2 ещё

Простой
Как сделать так, чтобы звезда падала только при скролле страницы?
- 1 подписчик
- 19 часов назад
- 75 просмотров
0

ответов
JavaScript

+1 ещё

Простой
Почему вылезает второй слайд?
- 1 подписчик
- 20 часов назад
- 37 просмотров
1

ответ
JavaScript

Простой
Почему в букмарклете должным образом не выполняется Alt + Click?
- 1 подписчик
- вчера
- 45 просмотров
1

ответ
JavaScript

Средний
Как создать кроссбраузерный функиональный плеер?
- 1 подписчик
- вчера
- 65 просмотров
0

ответов
JavaScript

+1 ещё

Средний
Почему функция mnemonicToWalletKey из библиотеки тон генерирует неверный адрес кошелька?
- 1 подписчик
- вчера
- 48 просмотров
1

ответ
JavaScript

+1 ещё

Простой
Как передавать данные гугл таблицы в телеграм при добавлении новой записи?
- 1 подписчик
- вчера
- 60 просмотров
1

ответ
JavaScript

Простой
Проблема с добавлением полей товара в куки, почему-то при клике ничего в куки не записывает, что делать?
- 1 подписчик
- вчера
- 33 просмотра
2

ответа
Показать ещё Загружается…

JavaScript разработчик

summer • Ярославль

от 100 000 до 140 000 ₽

Junior JavaScript Developer

КРАФТТЕК • Санкт-Петербург

от 60 000 до 80 000 ₽

JavaScript разработчик

Мэтч

от 80 000 ₽

Взлом автомобильной программы

19 апр. 2024, в 05:01

999999 руб./за проект

Доработать телеграм бота

19 апр. 2024, в 03:52

1000 руб./за проект

Написать код на python

19 апр. 2024, в 03:01

1000 руб./за проект

В заголовках. В частности в куках, например.
А какая разница в каком виде вы храните и отправляете ключ то по сути? От злых глаз на фронте вы ничего не спрячите, все что вы отдали браузеру - можно считать открытым по умолчанию. С помощью просто снифера любой школьник получит и POST и GET без проблем.
Определите что значит "безопасно".
Начните с SSL, чтобы никто третий не увидел
Передавайте так чтобы в истории не было - куки и заголовки
Сделайте токену ограничение по сроку жизни. Или сделайте его одноразовым.
Привяжите к IP.
Проверьте referrer.
И кучу других способов, все зависят от того что вы подразумеваете под словом "безопасно". А то может быть что и ответ - никак.

Answer 1 · 2019-03-06 10:37:21

Александр Сисюкин @Caarl

Cookie или header

Ответ написан более трёх лет назад

Комментировать

Как безопасно передавать сессионный токен?

Войдите, чтобы написать ответ

Минуточку внимания

Войдите на сайт