localStorage 다중 토큰을 사용하는 자동 로그인

Question

저는 Phonegap 모바일 애플리케이션을 개발하고 localStorage의 토큰이 데이터베이스의 행과 일치하면 사용자가 자동 ​​로그인 할 수 있도록합니다. 로그인 또는 업데이트 할 때마다 사용자는 새로운 자동 로그인 토큰을받으며 로컬에 저장됩니다.

높은 수준의 보호로서 토큰을 4 개의 토큰으로 나누고 싶습니다. 토큰의 일부를 포함하는 3 개의 토큰과 4 번째의 '코드'가 포함됩니다. 백엔드에서 각 '코드'에는 3 개의 토큰을 함께 연결하거나 구문 분석하는 방법에 대한 고유 한 지침이 포함됩니다. 결과 문자열은 데이터베이스 행과 비교됩니다.

$token1 = $_POST['token1']; 
$token2 = $_POST['token2']; 
$token3 = $_POST['token3']; 
$token4 = $_POST['token4']; 

if ($token4 === '101') { 
    // Just a quick example 
    $requestToken = $token3 . $token1 . $token2; 
} 

내 응용 프로그램의 보안을 강화하기 위해 바보 같은 구현입니까?

Answer 1

이렇게하는 데 별다른 의미가 없습니다. 모든 토큰은 같은 방법으로 보호되므로 공격자가 모든 토큰을 한 번에 훔칠 수 있습니다. 특히, 모바일 앱이 디 컴파일하기가 상대적으로 쉬운 경우 (그러나 쉬운 일이 아니더라도) 공격자는 합리적인 리소스로 물건이 어떻게 작동하는지 확인할 수 있습니다.

그래서 내게는 당신이 달성하려고하는 것이나 무엇보다 당신을 보호하고자하는 위협에 대해 분명하지 않습니다. security by obscurity 인 것으로 보입니다. 피해야합니다.