В мире открытого API токены являются ключом двери (выдается любому, у кого есть действительный идентификатор клиента и секрет).Токены позволяют любому, у кого они есть, получить доступ к ресурсу.Таким образом, они так же важны, как и пароли.
Пример : Собственное приложение стороннего производителя, желающее получить доступ к вашим API.Приложение использует «Client Id and Secret» для запроса «токена доступа».Этот токен доступа будет использоваться для последующих вызовов API.
Концерн : обычно «токены доступа» имеют более длинный TTL.Когда они хранятся на мобильном устройстве мобильного приложения / клиента и кто-то получает к ним доступ, они смогут воспроизводить вызовы API из другого источника, используя этот токен доступа и URI API.
- Как вы предотвращаете такие атаки воспроизведения (когда токен доступа скомпрометирован из стороннего приложения) для вызовов API?
- Какую безопасную практику вы соблюдаете, чтобы ваши потребители / клиенты могли безопасно хранить «токены доступа»?