通过非安全 URL 为 API 发送 idToken 是否安全?
Are idToken's safe to send over non-secure URL for API?
所以我对 Java 和开发 Android 都很陌生,但是当我通过 Google 登录我的应用程序时,我以某种方式成功获得了 idToken。
我在 Android 开发网站上了解到,仅 ID 并不安全,因为经过修改的客户端可能会发送虚假 ID 并导致冒充其他用户,因此我按照他们的步骤获取用户的 idToken。
无论如何,通过 URL 发送到我家里的服务器安全吗?例如,像这样(假装一长串随机文本是用户的idToken):
http://130.155.122.8/api_test/h78e568e7g6589gjkdfhjghdjfkghjkdfhgjkdfhk7hg9867458g74598hg6745896gh49/command
此外,是否需要 idToken?我能否同样轻松地使用用户的电子邮件地址来识别用户(同样,它会通过不安全的 URL、无 HTTPS 发送)?
谢谢!
一般来说 - 没有
决不能通过不安全的连接(例如 http)传输标识您的令牌。由于在此类连接上未使用加密,第三方可以很容易地监视连接并获取您的令牌(导致模拟问题)。
IANAE,但任何与安全相关的数据(例如 idToken 或密码)都只能通过安全(加密)连接(例如 https)传输。
并且使用电子邮件地址并不能解决问题。您只需将一个标识符替换为另一个标识符即可。如果有人知道用户的电子邮件地址,他可以冒充该用户。坚持使用 "documented" 身份验证技术。如果做得对,他们应该是安全的。
你应该使用加密,如果有人从用户那里得到令牌,他们可以冒充该用户,在我的例子中,因为我负担不起 ssl(目前),我使用非对称加密来加密令牌,然后我发送它到服务器,但 ssl 是最好的方式
所以我对 Java 和开发 Android 都很陌生,但是当我通过 Google 登录我的应用程序时,我以某种方式成功获得了 idToken。
我在 Android 开发网站上了解到,仅 ID 并不安全,因为经过修改的客户端可能会发送虚假 ID 并导致冒充其他用户,因此我按照他们的步骤获取用户的 idToken。
无论如何,通过 URL 发送到我家里的服务器安全吗?例如,像这样(假装一长串随机文本是用户的idToken):
http://130.155.122.8/api_test/h78e568e7g6589gjkdfhjghdjfkghjkdfhgjkdfhk7hg9867458g74598hg6745896gh49/command
此外,是否需要 idToken?我能否同样轻松地使用用户的电子邮件地址来识别用户(同样,它会通过不安全的 URL、无 HTTPS 发送)?
谢谢!
一般来说 - 没有
决不能通过不安全的连接(例如 http)传输标识您的令牌。由于在此类连接上未使用加密,第三方可以很容易地监视连接并获取您的令牌(导致模拟问题)。
IANAE,但任何与安全相关的数据(例如 idToken 或密码)都只能通过安全(加密)连接(例如 https)传输。
并且使用电子邮件地址并不能解决问题。您只需将一个标识符替换为另一个标识符即可。如果有人知道用户的电子邮件地址,他可以冒充该用户。坚持使用 "documented" 身份验证技术。如果做得对,他们应该是安全的。
你应该使用加密,如果有人从用户那里得到令牌,他们可以冒充该用户,在我的例子中,因为我负担不起 ssl(目前),我使用非对称加密来加密令牌,然后我发送它到服务器,但 ssl 是最好的方式