Блог

Предположим, я использую O-Auth для аутентификации моего приложения. Предположим, я обращаюсь к API, который имеет аутентификацию на основе токенов. Токен, который является ключом к аутентификации, попадает в руки хакера. Сможет ли хакер выдавать себя за подлинных пользователей?

Ответ — да. Вот почему ваши токены должны быть недолговечными, и лучше вообще не использовать токен обновления. Хакеры иногда получают токен после того, как срок его действия уже истек, так что это намного лучше, чем имя пользователя и пароль. Тем не менее, он не является пуленепробиваемым, и вам следует использовать другие методы для остановки и отслеживания подозрительных запросов, такие как мониторинг и ограничение IP-адресов, блокировка слишком большого количества запросов в секунду и т.д.