نوشته‌شده در توسط vpn

تأیید اعتبار – مجوز چندین دستگاه با نشانه های refresh

من واقعا در تمام سناریو های حفاظت درک نمی کنم زمانی که یک نشانه تازه سازی به سرقت رفته است. لطفا توضیح دهید.

بیایید بگوییم این وضعیت وجود دارد: کاربر مجاز است در یک برنامه تلفن همراه مجاز است و این برنامه شامل دو نشانه است – یک نشانه دسترسی کوتاه و یک نشانه طولانی زندگی مجدد. در حال حاضر، مهاجم به هر دلیلی هر دو نشانه را از دستگاه کاربر می گیرد و بلافاصله از Token refresh برای دریافت یک جفت جدید از نشانه ها استفاده می کند و این نشانه ها را نامعتبر می سازد. بعد از آن، زمانی که کاربر تلاش می کند از استفاده از شناسه قدیمی خود استفاده کند، نامعتبر خواهد بود و مجبور خواهد شد دوباره با استفاده از رمز عبور خود وارد سیستم شوید.

در این مرحله، سرور باید تمام نشانه های مجدد دیگر را نادیده بگیرد تا از استفاده بیشتر توسط یک حمله کننده. اما پس از آن برای تأیید مجوز چند دستگاه برای یک کاربر، اگر تنها یک نشانه مجدد در یک زمان وجود دارد؟