0
多くの登録サイトでは、電子メールの確認とサイトのURLにトークンを使用しています。なぜトークンスキームが必要ですか?
なぜ彼らはそれを使用しますか?
たとえば、電子メールの確認の場合:なぜトークンの代わりに登録されたユーザーIDを使用しないのですか?ウェブページで使用した場合、私はまったく得られなかった!!
実際のアプリケーションでの説明がわかります!
ありがとうございます!
A
答えて
1
このコンテキストのトークンは、通常、検証に使用される使い捨てのタイムリミットなランダムな文字列です。ユーザが推測することはできず、(理由の範囲内で)ブルートフォース可能ではない(例えば、sha1(microtime() . rand(1, 10000)))などの)40文字のトークンを簡単に生成することができます。
電子メールの確認のために、トークンが生成され、アカウントIDとリンクされます。トークンを含むアドレスにアクセスすると、アカウントが有効になります。私たちは、トークンがブルート・プロストまたは推測(理由のもとで)できないことを確立しているので、特定のユーザーが実際に私たちに与えた電子メールアドレスを持っていることを確認しました。
メンバー番号を使用したばかりの場合は、推測するためにいくつかのことを行うことができ、電子メールのチェックはまったく行われません。それはまだ使い捨て期間限定のランダムな文字列だが、ことを確認するために使われています - ログインまたはいくつかの種類のフォームを送信するとき、用語「トークン」とは若干異なる文脈で使用することができる
フォームを提出した人は、提出しようとしたフォームから来たばかりです。
たとえば、オンラインバンキングにログインしたとします。彼らは、別の銀行口座に送金するためのフォームを持っているかもしれません。 www.nastysite.comに行くと、<iframe src="http://www.mybank.com/send_money.php?amount=9001&to=Joe">を指すiframeが含まれている可能性があります。あなたの銀行があなたが実際にフォームに載っていることを確認しなければ、その支払いが行われ、あなたは一番幸せにならないでしょう。あなたがフォーム上にあっても、偽のpage-loadで使用されているフォーム上の正しいトークンの可能性は(ほぼ)ゼロです。
これは、「クロスサイトリクエスト偽造」またはCSRFと呼ばれます。 CSRFについてさらに読むには、this Wikipedia articleをご覧ください。また、私はちょうどこの記事を書いた後にそのリンクを得て、彼らが私の似たような例を使っていることを見ました - 本物の偶然の一致haha。
関連する問題
- 1. なぜDataBind()メソッドが必要ですか?
- 2. なぜoffsetofマクロが必要ですか?
- 3. なぜReaderLockが必要ですか?
- 4. なぜnp.squeeze()が必要ですか?
- 5. なぜServer.HtmlEncodeが必要ですか?
- 6. なぜContinueWithメソッドが必要ですか?
- 7. なぜng-clickが必要ですか?
- 8. なぜNotificationCompatが必要ですか?
- 9. なぜコンテキストリダクションが必要ですか?
- 10. なぜsession_ destroy()が必要ですか?
- 11. Typescriptなぜrequirejsが必要なのか
- 12. リポジトリパターン - なぜInterfacesが必要なのか?
- 13. なぜ必要なのですか$ = jQuery
- 14. コピー初期化はなぜですか?なぜコピーコンストラクタが必要ですか?
- 15. StaticResourceはなぜ必要ですか?
- 16. ここでエンディアンが必要なのはなぜですか?
- 17. Dockerでベースイメージが必要なのはなぜですか?
- 18. Railsでattr_accessorが必要なのはなぜですか?
- 19. JavaでString [] argsが必要なのはなぜですか?
- 20. lexでルールが必要なのはなぜですか?
- 21. ここでtypenameが必要なのはなぜですか?
- 22. ここでキャストが必要なのはなぜですか?
- 23. C++ 11でweak_ptrが必要なのはなぜですか?
- 24. Pythonで「finally」節が必要なのはなぜですか?
- 25. MFCでランタイムクラス情報が必要なのはなぜですか?
- 26. コントローラでInit関数が必要なのはなぜですか?
- 27. Ford-Fulkersonアルゴリズムでバックエッジが必要なのはなぜですか?
- 28. なぜ/きれいなターゲットが必要なのですか?
- 29. ピッカーにデータソースが必要なのはなぜですか?
- 30. MailDefinitionクラスにSystem.Web.UI.Controlが必要なのはなぜですか?
どのような操作を行う前に、ユーザーがアクティブ化されているかどうかを常に確認すると、どのようにバイパスできますか。その後、IDまたはトークンを使用した後には違いはありません。 – J3DI
誰かが自分のメールアドレスを所有していることを保証する典型的な方法は、クリックするためのリンクを含むメールをそのアドレスに送信することです。これは、ユーザーとプログラマー。ランダムトークンを使用することによって、ユーザーが実際にそのアドレスを所有していることが(ほぼ)保証されます。それはログインシステムの代わりではありません - あなたはそれを必要とし、あなたはそのためにメンバーIDを使用します。トークンはアカウント登録時に使用されます。私がまだ質問を紛失している場合は、少し言い換えることができますか? :) – Joe
開発サイト(フォーム付きのページでめったにない)でトークンを使用するのはどうですか?私は自分のページにアクセスするたびに、GETリクエストにトークンパラメータがあり、それはいつも変更されているサイトで見ることができます。それはなぜですか? – J3DI