نوشته‌شده در

jwt – چطور Apple Token موزیک امن است؟

محیط زیست:

  • زبان: پایتون
  • چارچوب: جانگو
  • پایگاه داده: Postgres

TL؛ DR
برنامه ما نیاز به انجام عملیات پس زمینه است که نیاز به نشانه اپل موسیقی. پس از آنکه کاربر برنامه را مجاز به دسترسی به حساب کاربری خود کردم، یک اکانت از اپل دریافت کردم. چگونه می توانم آن را به صورت امن در پایگاه داده خود ذخیره کنم؟ آیا باید آن را رمزگذاری کنم؟

برنامه در حال حاضر با استفاده از این نشانه زمانی که کاربر یک عمل را آغاز می کند اما آن را پرتاب می کند. من می خواهم راهی برای ذخیره آن در پایگاه داده را به طور ایمن.

نحوه دریافت Token

این صفحه در فایل های Apple Music API کمیاب است، اما خلاصه ای در مورد نحوه ایجاد Token می دهد /abtained.

به نظر می رسد که برای هر درخواستی که باید با داده های کاربر انجام شود، ما باید دو نشانه را ارسال کنیم: نشانگر توسعه دهنده (JWT تولید شده) و نشانگر کاربر (که فقط یک رشته طولانی است). [19659010] curl -v -H 'Music-User Token: [music user token]' -H 'اجازهنامه: Bearer [developer token]' 'https://api.music.apple.com/v1/catalog/us/songs/203709340 "

نشانه کاربر اعطا شده است که کاربر اجازه برنامه خاص به خواندن / تغییر خود کتابخانه Apple موسیقی

کد کاربر به عنوان مثال:

ApSbGT6HcRA + ABZ + b88ZNu / TQJg + MRjcEJwkA3qz8zamj3z7POEGvsDrihYVn8XqLZmQvbSQaMmsgpjjnxv0MTBpqHNFFQiuzxBjVUGgS … [turncated]

من سؤال این است: آیا فقط میتوان به عنوان یک StringField در پایگاه داده ذخیره کرد، آیا میتوان آن را تنها با نشانگر توسعه دهنده مورد استفاده قرار داد؟ یا باید آن را رمزگذاری کنم؟

نوشته‌شده در

تأیید اعتبار – آیا این یک پیاده سازی امن از نشانه های تجدید JWT است؟

من یک نشانه ی بازخوانی JWT را اجرا میکنم و روش زیر را برای تشویق نشانه ها توسعه داده ام. زیر برنامه جریان است:

  • هنگامی که سرور اطلاعات ورود را بازیابی می کند، آن را در برابر رمز عبور بررسی می کند
    پایگاه داده و ایجاد Token JWT با یک نشانه تازه کردن به عنوان یکی از آن
    ادعا می کند در محموله. (کاراکترهای تصادفی). این تازه سازی را ذخیره خواهد کرد
    نشانه در یک پایگاه داده.
  • پس از ورود، سرور ورود به سیستم: true و Token access JWT
  • از آنجا که نشانگر refresh در داخل JWT است، دو نشانه لازم نیست
    فرستاده می شود
  • اگر مشتری یک نشانه دسترسی را که تمام شده است، ارسال می کند، سرور خواهد شد
    کد زیر را در ادعا بررسی کنید و ببینید آیا در داخل db است.
    اگر این کار را کرد، یک نشانه جدید با یک نشانه تازه کردن ایجاد خواهد کرد و
  • اگر مشتری بخواهد از همه دستگاه ها بیرون برود، می توانند به راحتی تمام آنها را لغو کنند
    از نشانه های بازخوانی آنها و زمانی که همه آنها بیرون می آیند
    نشانه ها منقضی می شوند (نشانه های 15 دقیقه JWT).

مزایایی که می توانم در این پیاده سازی ببینم عبارتند از:

  • بدون نیاز به ارسال دو نشانه. تازه سازی در داخل JWT جاسازی شده است
    و نمی تواند اصلاح شود زیرا امضای آن نامعتبر است.
  • بدون نیاز به رمز نویسی مجدد در پایگاه داده را رمزگذاری می کند، زیرا اگر یک
    مهاجم نشانه ی refresh را نگه داشته است، آنها نمی توانند کاری انجام دهند
    با آن به دلیل آن است که در داخل JWT است و نمی تواند اصلاح شود. (که در
    پیاده سازی های دیگر با نشانه های جداگانه باید فرض کنیم
    مهاجم به هر حال هر دو را می گیرد)

مشکلاتی که من با آنها می بینم عبارتند از:

  • JWT ها همیشه دارای نشانگر refresh هستند، بنابراین مهاجم همیشه باید باشد
    قادر به انجام یک تازه کردن و استفاده از نشانه refresh تا زمانی که منقضی شود
    مگر اینکه مشتری آن را با ورود به سیستم (از تمام دستگاه ها) لغو می کند.
  • مشتری می تواند تماس ورود به سیستم را در حلقه اجرا کند و پایگاه داده را پر کند
    زیرا هر بار که آنها وارد سیستم می شوند، یک نشانه دسترسی جدید ایجاد می شود و یک
    کد جدید refresh در پایگاه داده ذخیره می شود.

آیا این روش امن است؟ اگر چنین است، من عمدتا با کسی که با پایگاه داده های جدید refresh و پر کردن دیسک پر می کند، نگرانم. چگونه می توانم از وقوع اجتناب کنم؟

نوشته‌شده در

چطور ایمن یک نشانه کاربری به دست آمده از خدمات شخص ثالث را ذخیره کنید؟

توجه: نشانه باید در سرور باشد، زیرا ما نیاز به انجام عملیات خواندن را بدون مجوز (دستی) کاربر داریم.

بنابراین پس از اینکه کاربر برنامه را مجاز به دسترسی به حساب کاربری خود کردم، از یک سرویس دهنده شخص ثالث (به عنوان مثال اپل) یک نشانه دریافت می کنم. چگونه می توانم آن را به صورت امن در پایگاه داده خود ذخیره کنم؟ آیا باید آن را رمزگذاری کنم؟

نوشته‌شده در

تأیید اعتبار – مجوز چندین دستگاه با نشانه های refresh

من واقعا در تمام سناریو های حفاظت درک نمی کنم زمانی که یک نشانه تازه سازی به سرقت رفته است. لطفا توضیح دهید.

بیایید بگوییم این وضعیت وجود دارد: کاربر مجاز است در یک برنامه تلفن همراه مجاز است و این برنامه شامل دو نشانه است – یک نشانه دسترسی کوتاه و یک نشانه طولانی زندگی مجدد. در حال حاضر، مهاجم به هر دلیلی هر دو نشانه را از دستگاه کاربر می گیرد و بلافاصله از Token refresh برای دریافت یک جفت جدید از نشانه ها استفاده می کند و این نشانه ها را نامعتبر می سازد. بعد از آن، زمانی که کاربر تلاش می کند از استفاده از شناسه قدیمی خود استفاده کند، نامعتبر خواهد بود و مجبور خواهد شد دوباره با استفاده از رمز عبور خود وارد سیستم شوید.

در این مرحله، سرور باید تمام نشانه های مجدد دیگر را نادیده بگیرد تا از استفاده بیشتر توسط یک حمله کننده. اما پس از آن برای تأیید مجوز چند دستگاه برای یک کاربر، اگر تنها یک نشانه مجدد در یک زمان وجود دارد؟

نوشته‌شده در

حریم خصوصی – آیا فیس بوک اطلاعات برخی از اطلاعات حساس را با رمز دسترسی خاصی به اشتراک می گذارد؟ (API)

برخی از پیوندهای پیچیده را در نمودار فیس بوک پیدا کردم (https://graph.facebook.com) بنابراین می خواهم بدانم این درست است یا خیر 

 https://graph.facebook.com/ {{ شناسه کاربر}} / {{درخواست داده}}

سپس سعی می کنیم برخی از درخواست های تقلبی را از آدرس فیس بوک فیس بوک دریافت کنیم.
(https://graph.facebook.com/100006573608740/fakedatarequest) 

 {
"خطا": {
  "message": "اجزای مسیر نامشخص: / fakedatarequest"
  "نوع": "OAuthException"،
  "کد": 2500،
  "fbtrace_id": "DHYU01dQVZw"
}
}

بنابراین اکنون میخواهم برخی از اطلاعات حساس را با استفاده از نشانی اینترنتی گراف، درخواست کنم.
(https://graph.facebook.com/100006573608740/payments؛ https://graph.facebook.com/100006573608740/admins)
اکنون من خطایی خواهم کرد، 

 {
"خطا": {
  "message": "یک درخواست دسترسی برای درخواست این منبع لازم است."
  "نوع": "OAuthException"،
  "کد": 104،
  "fbtrace_id": "C6Nql + 1gf + 2"
 }
}

این چیست؟ چگونه می توانیم علامت دسترسی را برای بررسی اطلاعات مانند آن اضافه کنیم؟