Фальшивая авторизация или я изобретаю велосипед?

0

2

Насколько вообще принято в целях безопасности, запутывать этапы авторизации? Допустим у меня есть приложение на хосте, есть приложение в веб что бы управлять приложением на хосте, в веб клиенте я получаю токен и указываю его на приложении в хосте, но, в промежуток между ними я вставляю допонительную сущность в виде сервера который и учавствует на самом деле в работе с приложением на хосте, всё работает через токены вместо логина/пароля, тоесть есть токен к которому ассоциирован второй, служебный через который уже и происходит взаимосвязь всего. Но снаружи токен используется тот который был выдан прямо пользователю.

Я надмозгно всё объяснил, но по иному нельзя )

И да я не про сессионные токены которые позволяют авторизовать без повторного ввода логина/пароля/токена.

Даже ещё добавлю, если злоумышленник завладеет токеном выданным пользователю, он будет бесполезен, вот в чём суть. Эдакая матрёшка, внутри матрёшки

Ссылка

←	Получить слово на основании части слова из строки

Micro CLI. Проект выходного дня.

→

Можешь нарисовать картинку?

vzzo ★★★
(10.02.18 09:52:02 MSK)

Ответ на: комментарий от vzzo 10.02.18 09:52:02 MSK

Я было хотел, но подумал рано палить, возможно я где то совершил логическую ошибку. Пожалуй закрою обсуждение. Но если буду уверен в надёжности задумки, да я выложу сюда принцип визуальный того что описал. Просто я уже нашёл лазейку как обойти то что я придумал, значит пока придумал криво )))

Deleted
(10.02.18 11:22:45 MSK)

Ссылка

Я не уверен в точности формулировки, но смысл надеюсь передам: надёжность системы безопасности не должна зависеть от того, насколько злоумышленник знает её механизм.

Elyas ★★★★★
(10.02.18 11:56:15 MSK)

Посаны, если я например название урла страницы для входа в админку изменю на другое( например с /admin/ на другое название) и не буду делать ссылки на сайте на данную страницу входа. Смогут ли тру хацкеры отыскать , где страница входа в админку?

anonymous
(10.02.18 12:17:15 MSK)