曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精

<delect id="ygmw2"><rp id="ygmw2"></rp></delect>
      1. <object id="ygmw2"><option id="ygmw2"></option></object>
        <object id="ygmw2"><option id="ygmw2"></option></object>

        您當前的位置:   首頁 > 新聞中心
        移動銀行和支付應用程序的安全連接:訪問令牌保護
        發布時間:2020-03-23 14:51:26   閱讀次數:

        1-20032315091W44.png

        什么是訪問令牌?

        訪問令牌主要用于移動銀行業務,以在應用程序和第三方API之間建立連接,因此,必須將它們視為關鍵的安全參數。


        Web應用程序通常要求用戶進行身份驗證。認證可以包括提交密碼,可以是靜態的或動態的(一次性密碼)、生物特征數據、證書、甚至是回答問題。在所有情況下,機密都由用戶和遠程服務器共享。執行授權后,客戶端應用程序將需要保持授權一段時間,以便它可以執行所需的操作。


        由于應用程序顯然將不需要用戶為每個網絡請求提交其機密信息,因此必須有一種機制可以靜默地授予應用程序保持與遠程服務器連接的權利,并且該機制將作為用戶進行身份驗證。通常,它包含一個在客戶端創建的文件,該文件保存身份驗證信息。并且,它將有一個到期日期,在此日期之后,用戶將不得不重新進行身份驗證。 


        幾乎每個人都聽說過瀏覽器cookie。這些通常是這種被動身份驗證機制的基本形式。用戶名和密碼存儲在cookie中。當然,在本地存儲用戶名和密碼通常是一個壞主意,因為即使被加密,使用被盜的cookie也可以實現許多攻擊。 


        通常,有兩種不同的更強的被動身份驗證機制:身份令牌和訪問令牌。兩者都由服務器發送到客戶端。一般情況下,這不是發送令牌的最終服務器(“資源”服務器)。相反,它是一個中間服務器,例如身份驗證服務器(例如OAuth 2.0服務器)。 


        此外,兩個令牌通常都是JWT令牌(JSON Web令牌)。這些是URL安全,緊湊且用于SSO上下文(單點登錄)的令牌。JWT令牌聲明了一定數量的索賠。這些聲明已得到驗證,因為它們是由遠程端的私鑰簽名的。因此,每次客戶端將它們發送回時,服務器都可以通過檢查簽名的真實性來驗證聲明。


        身份令牌本身不會授予對資源的訪問權限。但是,它們會識別用戶,確認用戶已通過身份驗證,并檢索有關其個人資料的信息。


        相反,訪問令牌不帶有識別標記,而是授予對給定資源的訪問權限。它們的設計壽命很短,并且可以嵌入其他一些信息,例如IP地址或客戶的簽名。 


        移動銀行應用程序上下文中訪問令牌的風險

        顯然,竊取訪問令牌可以訪問身份驗證。訪問令牌不是一次性密碼。知道令牌值(用作加密密鑰)將在令牌壽命期內提供對API的訪問。例如,充當偽造應用程序的第三方應用程序特洛伊木馬可能會竊取令牌并使用它們代表合法客戶端執行請求,從而執行欺詐性的財務操作。


        大多數身份驗證服務提供商和移動銀行應用程序集成商選擇實施OAuth 2.0授權授予流程,如果沒有進一步的保護,則會對應用程序的整體安全性帶來一定的風險。


        盡管流發生在TLS通道內,但是有一些方法可以攔截所授予的訪問令牌的值:

        • 黑客可以對合法的銀行應用程序進行反向工程,然后提取其客戶ID,重定向URL,客戶機密等。然后,他們通過使用對OAuth 2.0服務器看起來完全有效的值重新編譯經過修改的應用程序,來重新創建偽造的應用程序。

        • 黑客可以篡改URL重定向,例如,在移動電話上運行服務器并篡改主機文件以攔截授權代碼。然后,他們可以使用它來從OAuth 2.0服務器獲取訪問令牌,并使用它們代替合法應用程序。


        當然,移動銀行中的訪問令牌還涉及其他風險,這些風險不在本文討論范圍之內。


        如何保護訪問令牌

        該應用程序應:

        • 處理授權授權流程時,請使用代碼交換證明密鑰(PKCE);

        • 在處理授權授予流程時,請使用帶有安全授權中間人服務的動態證明保護;

        • 不在源代碼或其他地方存儲OAuth應用憑據;

        • 不對銀行應用程序中的訪問令牌進行硬編碼;

        • 使用OpenID connect之類的協議來處理OAuth身份驗證,而不要使用自制系統;

        • 保護JWT令牌;

        • 將令牌存儲在安全的cookie或加密的文件中;

        • 使用TLS1.2 +來傳輸令牌,而不使用GET,而僅使用POST請求。


        攬閣信息可提供的部分安全產品和解決方案信息

        聯系攬閣信息,您可以獲取到更多滿足全球合規性要求的信息安全產品資料,以及相關的整體解決方案的相關資料。如:


        您還可以得到攬閣信息所提供的優質服務。

        攬閣信息 · 值得您信賴的信息安全顧問!


        相關閱讀

        購買咨詢電話
        021-54410609
        曰韩免费无码AV一区二区,男女啪啪高清无遮挡免费,精品国产自在精品国产精