Q&A
ご回答ありがとうございました。
とても勉強になりました。
devise_token_authというトークン認証gemを使用したときに、httponlyなCookieにトークンを保持したり、トークンをリクエストのたびに変更してセキュアにしていることがわかりました。
しかし、いくらセキュアでも万一トークンが盗まれたときの対策は必要だと思います。(毎回トークンが変更されても、一度盗まれたら盗んだ人は有効期限が切れるまで有効なトークンを更新できるようになります)
トークンの有効期限を短くする手もありますが、ユーザーの利便性とトレードオフなのでできれば頼りたくないと思ってます。
ドキュメントやissue,prからその対策が用意されてるかは見つけられませんでした。
devise_token_authでトークンが流出したときの対策があれば教えていただきたいです。
よろしくお願いします。
回答2件
0
ベストアンサー
ご自身でも分かっていると思いますが、
(毎回トークンが変更されても、一度盗まれたら盗んだ人は有効期限が切れるまで有効なトークンを更新できるようになります)
で答えが出ています。
完璧に防ぐ方法はないでしょう。
トークンが盗まれる事はありえるものとして、
不正にログインされたとしても、重要な操作についてはメールアドレスによる認証または二段階認証などを要求するなどの対策が必要かと思います。
投稿2021/08/15 10:01
総合スコア4025
0
基本的にトークンは盗まれたらアウトというものであって、有効期限を短くするとか、不正を検知してトークンを無効化する(可能な場合)くらいしか緩和策はないと思います。
投稿2021/08/15 09:57
総合スコア11701
あなたの回答
tips
プレビュー
バッドをするには、ログインかつ
こちらの条件を満たす必要があります。
2021/08/21 14:44