javascript - 로그인 인터페이스를 요청한 후 인터페이스에서 반환된 비밀 키를 쿠키에 저장해도 안전한가요? 쿠키의 비밀 키를 얻으면 마음대로 인터페이스를 호출할 수 있습니다.

Question

로그인 인터페이스를 요청한 후 인터페이스에서 반환한 비밀 키를 쿠키에 저장해도 안전한가요? 쿠키의 비밀 키를 얻으면 마음대로 인터페이스를 호출할 수 있나요?

Answer 1

모바일 앱을 말씀하시는 건가요? 일반적으로 로그인할 때 토큰 값이 반환됩니다. 앱은 이 토큰을 다른 인터페이스에 대한 인증으로 사용합니다. 이 토큰은 프런트엔드와 백엔드에서 암호화 확인 방법에 동의할 수 있습니다.

안전 문제를 고려한다면:

다른 사람들은 먼저 토큰 값이 반환된 시기를 알아야 하며 그런 다음 패킷을 캡처해야 합니다. 그런 다음 백엔드 인터페이스 URL에 https를 사용하여 다른 사람이 패킷을 캡처하더라도 아무것도 캡처할 수 없도록 고려할 수 있습니다.

둘째, 반환하는 토큰은 RSA 개인 키로 암호화된 토큰을 반환할 수 있습니다. 앱은 공개 키 암호 해독 토큰을 저장하고 후속 토큰 또는 기타 민감한 매개변수는 RSA로 암호화될 수 있습니다. 다른 사람들은 귀하의 공개 키 없이는 암호화하거나 해독할 수 없습니다.

다른 사람이 귀하의 앱을 디컴파일하고 코드에 저장된 토큰을 찾은 다음 확인을 위해 추가 매개변수 st를 전달할 수도 있습니다. 간단한 방법은 다음과 같습니다. 모든 매개변수를 알파벳 순서로 정렬하고, 트랜스코드하고, md5를 사용하여 값을 얻습니다. 그리고 그것을 넘겨주세요. 매개변수를 승인한 후 배경은 st 값을 비교하기 위해 동일한 작업을 수행합니다. 일치하지 않는 경우 수정된 것으로 간주되며 배경은 잘못된 매개변수 프롬프트를 반환합니다.

하나의 앱에 하나의 공개 키(소위 하나의 기계, 하나의 비밀)를 설정할 수도 있으며, 백그라운드에서는 앱 측에서 수시로 공개 키를 업데이트할 수 있습니다. 이렇게 하면 자신의 인증 규칙과 RSA 공개 키가 다른 사람에게 알려지더라도 다른 사람은 손실을 최소화하기 위해 이 휴대폰에 있는 앱만 조작할 수 있습니다.

——————————————

자바스크립트에 관해 말씀하시는 줄은 몰랐는데, 자바스크립트도 이런 방식으로 구현할 수 있습니다.

Answer 2

토큰에는 로그인 정보, IP 주소, 로그인 시간 등이 포함되어 있고 일련의 수정 사항이 포함되어 있으며 자체 만료 날짜가 있어 그 이후에는 사용할 수 없다고 생각하시면 됩니다~그래도 매우 안전합니다

Answer 3

WeChat 애플릿의 로그인 인터페이스를 참조할 수 있습니다
https://mp.weixin.qq.com/debu...