通过API的非安全URL发送idToken是否安全?
所以我对Java和Android的开发都很陌生,但我通过谷歌登录我的应用程序时,不知怎的成功地获得了一个idToken。
我在Android dev网站上读到,仅仅是ID是不安全的,因为修改过的客户端可能会发送一个假的ID并导致对另一个用户的冒充,所以我按照他们的步骤获取了用户的idToken。
不管怎么说,把一个URL发送到我家里的服务器上安全吗?例如,像这样(假设随机文本的长字符串是用户的idToken):
http://130.155.122.8/api_test/h78e568e7g6589gjkdfhjghdjfkghjkdfhgjkdfhhk7hg9867458g74598hg67458gh49/command
此外,是否需要idToken?我是否可以同样容易地使用用户的电子邮件地址来识别用户(同样,它将通过不安全的URL发送,而不是HTTPS)?
共有1个答案
您应该使用加密,如果某人从用户那里获得令牌,他们可以模拟该用户,在我的情况下,由于我不能使用ssl(目前),我使用非对称加密加密令牌,并将其发送到服务器,但ssl是最好的方式
-
问题内容: 尽管JVM会将SIGTERM和类似的信号转换为关闭挂钩,但是许多服务关闭脚本使用TCP端口启动关闭。(例如,Tomcat的关闭端口,Java Service Wrapper ,JBoss的管理接口等) 所以我认为不建议使用信号和关闭钩子来正常关闭Java服务,直到发现Play!框架通过关闭钩子管理服务生命周期,并且由生成的启动脚本假定将信号发送到JVM的PID。 我知道信号是与平台相关
-
我看到由于某些安全原因,我们不能使用POST方法传递值。所以我的问题是 有没有其他更好、更安全的流程可以做到这一点?以便任何人都无法通过URL看到密码或值。
-
以下代码https://stackoverflow.com/a/3649148一直有效,直到最近谷歌改变了他们的安全政策,它才被打破。 我收到了来自谷歌的邮件 你好,xxx,有人刚刚试图登录你的Google帐户xxx@gmail.com来自不符合现代安全标准的应用程序。 我们强烈建议您使用Gmail等安全应用程序访问您的帐户。Google制作的所有应用程序都符合这些安全标准。另一方面,使用不太安全
-
我想使用jwt令牌向我的应用程序添加身份验证。 每次向服务器发送请求时,我都会附加服务器创建的令牌。 我受伤了,这是在标头中发送令牌的安全方式吗?如果有人访问我的计算机并在 DevTools 选项卡中检查我的网络并看到我的令牌,他可以使用令牌模拟请求并控制用户数据。 这是常见的情况吗?以及窃取和黑客 JWT 代币的方法?
-
我看到了不同的PHP二进制文件,比如非线程或线程安全? 这是什么意思? 这些软件包之间有什么区别?
-
如果当前请求是安全的,有没有办法“询问”Spring Security性?因为即使我通过了身份验证,我也要检测我是在受安全保护的URL中还是在匿名/公共页面中 提前感谢!