v2.5.2
Giriş yap

Access Token & CSRF Güvenliği Hk.

obey00
513 defa görüntülendi

Merhabalar;
Bir app geliştiriyorum. App'e erişim için senaryoyu şu şekilde:
1- Öncelikle kullanıcı OAuth grant access kısmı geliyor
2- Kullanıcı grant access ekranın uygulamaya erişimi kabul ediyor
3- Access token alınıyor ve uygulamaya yönlendiriliyor.

Bu senaryo, herhangi bir sosyal medyada erişim izni verirken vs. sıkça karşılaştığımız bir olay.
Benim burada merak ettiğim ise; bu senaryoyu nasıl koruyabilir/nelere dikkat edebilirim?

Örneğin: Token request eden kişinin IP'si ile, redirect url'ye gittikten sonraki IP'ler aynı mı?
Session/cache güvenlik senaryoları ne olabilir?
Grant access almadan uygulama içerisine erişimi engelleyebilecek önlemler vs.

Fikirlerinizi bekliyorum, teşekkürler.

Cevap yaz
Cevaplar (3)
admin
1089 gün önce

tokenin senin iptal etmen gerekiyor. kullanici zaten iptal edemez. @obey00

obey00
1089 gün önce

Tokenin iptal edilebilmesini nasıl önleriz? Fikrin var mı @admin

admin
1091 gün önce

Buradaki genel sorun tokenin iptal edilebiliyor olmasi bence. Coğu uygulamada bu es geçiliyor. Refresh tokenin süresi de azaltılabilir ama tokeni iptal edebilmenin önemli olduğunu düsünüyorum. Bu arada bu konu da uzman sayılmam.