网站阻止基于令牌的身份验证的MITM攻击？

我是新来的Web服务，并阅读基于令牌的身份验证，可以使用什么是基于令牌的身份验证Web服务。 我在互联网上搜索，但它基于http的网站如何管理基于令牌的身份验证，没有任何安全漏洞，很混乱。

我有什么意见？

我可以坐在服务器和客户端之间，以某种方式存储令牌，方法是嗅探流量并在流量到期之前滥用流量。 我错了吗？

EDIT

正如在https://security.stackexchange.com/questions/46348/token-based-authentication-under-http中所述。

“Facebook使用作为cookie或HTTP标头传递并受HTTPS保护的OAuth令牌。”

我该如何实现这一点，因为在这种情况下，网站将基于http，并且只有http-headers将使用https。 如果我错了，请纠正我。

---

您的修改意味着对HTTPS的作用存在误解。

从规范的角度讲，HTTP（也就是网络上所说的“语言”，由https://www.ietf.org/rfc/rfc2616.txt定义）是一种基于文本的“应用级协议”，通过TCP套接字（TCP是“传输层”层）。

从这个意义上讲，HTTP和HTTPS是相同的“语言”，它们之间没有什么不同。 HTTP和HTTPS都是基于文本的请求/响应协议，每个协议都由头部和主体组成，请求中指定了诸如GET，POST，PUT等动词，没有任何区别。

HTTP与HTTPS有何不同之处在于，在HTTP“语言”（应用程序级别协议）下面，HTTPS使用TCP套接字，使用提供加密的SSL或TLS层进行加密。

由于SSL / TLS层在HTTP层下发生，因此请求头和身体发生什么变化没有什么区别。

回到你的问题：

我该如何实现这一点，因为在这种情况下，网站将基于http，并且只有http-headers将使用https。 如果我错了，请纠正我。

在单个请求/响应周期中，您不能只有标题，也不能使用HTTPS。 这是全部或没有。

结论是，根据您链接到的文章：基于标记的身份验证只有在令牌总是安全的情况下才可以是安全的。 其中，如果您始终使用HTTPS（在所有请求/响应中），则可以保证（头文件和主体都受到保护）。 如果即使一个请求或响应未通过HTTPS发送，您也有缺陷。

链接地址: http://www.djcxy.com/p/3749.html

上一篇: websites prevent MITM attack for token based authentication?

下一篇: Best practice for REST token