보안 조치의 일환으로 사용자가 장치를 "등록"하기를 원하는 모바일 웹 사이트가있어서 사용자가 사이트에 액세스 할 수있는 장치 수를 제한 할 수 있습니다. 내 생각에, "새로운"장치에 대한 두 요소 인증 프로세스를 통해 넣고 GUID를 보유 할 httpOnly 쿠키 (SSL을 통해) 서버에 보낸 GUID를 저장합니다. 사용자가 사이트를 방문하여 사용자 이름과 암호를 사용하여 로그인하면 서버는 해당 쿠키와 데이터베이스의 사용자 레코드를 비교하고 일치하면 로그인하십시오.장치 등록에 httpOnly 쿠키 사용
제 질문은 다음과 같습니다. 이 httpOnly 쿠키의 유효/보안 사용? "장치 등록"에 대해 설명하는 방법이 의미가 있습니까?
감사합니다.
이렇게하면 일반 사용자가 서비스에 여러 장치를 사용할 수 없게되지만 다른 장치에 쿠키를 복사 할 수 있으므로 쉽게 회피 할 수 있습니다. HttpOnly 플래그는 JavaScript와 같은 클라이언트 측 스크립트가 쿠키에 액세스하는 것을 단순히 제한하며 쿠키 자체에 액세스하는 사용자 나 쿠키 병의 어떤 방식 으로든 쿠키의 암호화를 강제하지는 않습니다.
조금 더 많은 엔지니어링을 통해 솔루션을 작동시킬 수 있습니다. 각 장치의 롤링 토큰. 이 말은 모든 로그인마다 각 클라이언트에게 새로운 장치 ID를 부여한다는 의미이며이 메커니즘은 이전 클라이언트를 무효화합니다. 이로 인해 원래 쿠키의 복사본이있는 두 번째 장치가 별도의 등록 및 장치 한도 계산없이 더 이상 서비스를 사용할 수 없게됩니다. 그들은 가능성이 예측 가능으로
또한, 필요한 보안 수준에 따라 GUID가 아닌 다른 뭔가를 사용하는 것이 더 좋을 수도 :
정말 좋은 생각입니다. 로그인 할 때마다 쿠키가 변경되는 것을 좋아합니다. 고마워요! –
문제 없습니다. 어떻게 지내는지 알려줘. 투표가 끝나면 내 대답을 승인하는 것을 잊지 마시기 바랍니다. ;-) – SilverlightFox
GUID 또는 MAC은 주소 ... 확인 . – DevlshOne