Hej. Nadałem użytkownikom tokeny po których weryfikuję czy użytkownik jest zalogowany lub nie. Problemem jest fakt że łatwo w ten sposób podszyć się pod użytkownika, wystarczy pobrać jego token z request headera. Ponoć przydatnym rozwiązaniem jest uwzględnienie adresu ip z którego leci request - jeśli różni się od tego przy logowaniu to token najwyraźniej został podkradziony, natomiast samo pobranie ip z HttpServletRequest ("X-FORWARDER-FOR"/getRemoteAddr()) też niby łatwo obejść. Jakieś porady?
0
2
wystarczy pobrać jego token z request headera
Jeśli szyfrujesz połączenie (np. via HTTPS) oraz wykorzystujesz http-only cookies, to wcale nie jest "łatwe".
1
wystarczy pobrać jego token z request headera
I w jaki sposób to się dzieje skoro masz HTTPS? Kiedyś był taki vuln, że przy open-redirect niektóre przeglądarki i klienty http forwardowały tokeny do strony na którą było przekierowanie, ale teraz już chyba wszędzie jest to spatchowane.
Zresztą zauważ że równie dobrze mozesz powiedzieć że zwykłe session cookies są złe bo też można je przecież pobrać z headerów ;]