V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
noble4cc
V2EX  ›  程序员

app 长期只需要登录一次不过期这样真的安全吗?

  •  1
     
  •   noble4cc · 2020-12-25 15:23:56 +08:00 · 5880 次点击
    这是一个创建于 1421 天前的主题,其中的信息可能已经有所发展或是发生改变。

    如果存储在手机本地的 token 被窃取了不就相当于拿到用户的登录权限吗? 比如现在的淘宝拼多多等长期不重新登录都没问题,随便下单

    第 1 条附言  ·  2020-12-25 18:40:36 +08:00
    其实下单的意思只是举个例子,不是用户的钱就一定被盗,只是想说拿到 token 不就信息都可以泄露了吗?不能发能查看吧,买到的东西是隐私
    第 2 条附言  ·  2020-12-25 18:40:43 +08:00
    其实下单的意思只是举个例子,不是用户的钱就一定被盗,只是想说拿到 token 不就信息都可以泄露了吗?不能发能查看吧,买到的东西是隐私
    42 条回复    2020-12-28 09:53:13 +08:00
    lw10645
        1
    lw10645  
       2020-12-25 15:52:55 +08:00   ❤️ 1
    那你拿到淘宝拼多多的 token 去下单了吗
    taobibi
        2
    taobibi  
       2020-12-25 15:56:44 +08:00
    现在好多 APP 都强制扫码登陆,本来网页端登录好好的,都要扫码,宣传上宣传扫码“安全”
    westoy
        3
    westoy  
       2020-12-25 15:57:53 +08:00
    有支付密码啊
    shyangs
        4
    shyangs  
       2020-12-25 16:01:18 +08:00
    我看过比密码的生命周期还长的 token

    用户改了密码, 旧 token 还有效.

    设计文件中明确写上了这点.
    Mitt
        5
    Mitt  
       2020-12-25 16:04:44 +08:00 via iPhone
    下单随便下 你付款还能随便付?
    murmur
        6
    murmur  
       2020-12-25 16:06:03 +08:00
    所以支付宝宣称丢手机包赔,当然真的因为丢手机被盗刷赔没配咱就不知道了
    polyang
        7
    polyang  
       2020-12-25 16:08:08 +08:00
    token 泄露了顶多让你看看订单记录,下单是不可能的,会让你输入支付密码的。
    securityCoding
        8
    securityCoding  
       2020-12-25 16:12:24 +08:00   ❤️ 6
    token 会定期刷新让你不过期的错觉 ,并不是不过期
    jiezhi
        9
    jiezhi  
       2020-12-25 16:39:23 +08:00
    不仅一个 token 吧,好多设备信息和设备相关签名的,你换了设备来请求还是能识别出来的吧
    yinzhili
        10
    yinzhili  
       2020-12-25 16:47:20 +08:00
    你能下单有啥用,付款的时候还是要指纹或者面容 id 才行
    BUHeF254Lpd1MH06
        11
    BUHeF254Lpd1MH06  
       2020-12-25 16:50:41 +08:00
    不止一个 token 吧,之前我们做的策略就是有两个 token,refresh token 和 access token,利用 refresh token 去刷新
    ericwood067
        12
    ericwood067  
       2020-12-25 16:51:07 +08:00
    >token 会定期刷新让你不过期的错觉 ,并不是不过期

    >不仅一个 token 吧,好多设备信息和设备相关签名的,你换了设备来请求还是能识别出来的吧

    这两个合起来基本上就是正确答案了。大部分 App 换了设备会被踢下线的,将你的手机资料全部迁移到一个新手机试试就知道了。
    3dwelcome
        13
    3dwelcome  
       2020-12-25 16:53:00 +08:00
    自动登录里有设备 ID 的,你拿到 token 也没用,除非你再弄一个一模一样的设备。
    ScepterZ
        14
    ScepterZ  
       2020-12-25 16:55:15 +08:00
    关于楼上说的设备验证,之前用过一个 app 叫钛备份,好像不是所有 app 都做了的,有些 app 直接恢复就能用(好几年前的事情了,记不清楚了
    keepeye
        15
    keepeye  
       2020-12-25 17:01:39 +08:00
    token 应该会定期刷新的吧
    cking
        16
    cking  
       2020-12-25 17:02:26 +08:00
    @taobibi 逼乎就这样了 很坑
    agagega
        17
    agagega  
       2020-12-25 17:17:53 +08:00 via iPad
    楼主去用用上海健康码的小程序就知道登录态太短有多恶心人了
    Jaosn
        18
    Jaosn  
       2020-12-25 17:24:28 +08:00
    iOS 好多 APP 重新下载都直接跳出 “到 XX 是你的账号吗?”
    alect
        19
    alect  
       2020-12-25 17:32:23 +08:00
    见过软件换设备了旧的 cookie 依旧有效
    dynastysea
        20
    dynastysea  
       2020-12-25 17:44:13 +08:00
    @murmur 这个赔也没啥难度啊,现在手机基本上都是有锁屏密码的,其次支付宝也只是小额免密,赔起来也没啥难度
    Rache1
        21
    Rache1  
       2020-12-25 18:18:49 +08:00
    @shyangs 前些年用网抑云就是,旧手机送人了,没有退出网抑云,隔几天就莫名其妙歌单多了一些歌,然后改了密码,居然没用 😂
    musi
        22
    musi  
       2020-12-25 18:28:00 +08:00 via iPhone
    淘宝这东西有设备指纹的
    boris93
        23
    boris93  
       2020-12-25 18:32:04 +08:00 via Android
    长命的不是 token,是 session
    在 session 有效期 token 会刷新
    你登录会延长 session 有效期
    boris93
        24
    boris93  
       2020-12-25 18:33:43 +08:00 via Android
    @agagega #17 上海健康码小程序简直十分[友善度]
    而且我看着他后面摆了个绿码,前面弹框告诉我要登录,那到底取码要不要登录
    noble4cc
        25
    noble4cc  
    OP
       2020-12-25 18:41:19 +08:00
    @ScepterZ 我也用过确实是这样换了手机依然可以
    noble4cc
        26
    noble4cc  
    OP
       2020-12-25 18:43:08 +08:00
    @faqqcn 对呀我就说 token 这东西生命周期也太长了。。。
    noble4cc
        27
    noble4cc  
    OP
       2020-12-25 18:44:09 +08:00
    @boris93 然而有些软件就是不会刷新 token,除非重新登录,计算刷新 token 这里面也有时间差,长的话感觉也不怎么安全
    noble4cc
        28
    noble4cc  
    OP
       2020-12-25 18:45:48 +08:00
    @Jaosn 是呀很明显是保存 token 在本地了
    xuanbg
        29
    xuanbg  
       2020-12-25 19:32:35 +08:00
    你偷一个 token 来试试看就知道了,反正我司的 token 是绑定用户设备的。你看上去是永久有效,但实际上只是因为你在用,服务端会自动帮你刷新而已。
    akira
        30
    akira  
       2020-12-25 20:14:39 +08:00
    都能拿到本地存储的 token 了。。还有啥是拿不到的
    ylsc633
        31
    ylsc633  
       2020-12-25 20:22:31 +08:00
    看来是没改过密码呀

    你试试 app 登录之后

    然后去网页上把密码改了

    再回来打开 app 试试
    wangbenjun5
        32
    wangbenjun5  
       2020-12-25 20:41:17 +08:00   ❤️ 1
    大家都忽略了一点,那就是 token 只是安全设计的一个环节,正常来说,在涉及交易和金钱的操作的时候都会有其它风控做辅助,比如说用户是不是在常用登录地点、设备 id 有没有变化等等
    bzshow1
        33
    bzshow1  
       2020-12-25 21:33:51 +08:00 via Android
    看到订单信息了,还要怎样,隐私泄露了
    Lemeng
        34
    Lemeng  
       2020-12-25 23:52:34 +08:00
    淘宝吗?下单都要支付密码,转账也要
    anguiao
        35
    anguiao  
       2020-12-26 00:29:46 +08:00
    那么怎么窃取呢,应该都是存在 app 私有目录里的吧,不 root 应该是读不到的。请求的时候也有 HTTPS 啊,而且一般还会套一层自己的加密。
    Leigg
        36
    Leigg  
       2020-12-27 12:21:16 +08:00 via iPhone
    思考这个问题的原因:如果你一直不打开 APP,那么你的 token 会很快过期,如果你经常使用 APP,你就很长时间不用再次登录。
    hambers
        37
    hambers  
       2020-12-27 12:29:15 +08:00 via iPhone
    如果抓包能否拿到请求的 token 呢,抓完包使用报文模拟一样的请求
    vzyw
        38
    vzyw  
       2020-12-27 15:43:17 +08:00
    但是你本地的 token 想要被别人拿是很难的啊。 如果说黑客能拿到你本地的 token,那说明这个环境以及不安全了,什么措施都没用
    vzyw
        39
    vzyw  
       2020-12-27 15:45:23 +08:00
    @hambers https 这些信息只在你手动信任了抓包工具生成的根证书后才能抓到, 别人是抓不到的
    Sapp
        40
    Sapp  
       2020-12-27 15:49:45 +08:00
    现在的很多 token 是唯一的,当你换了手机在其他地方登录,再用这个就会出现让你重新登录,其次敏感操作一般需要二次验证甚至还要加上风控,比如你的设备信息你的 ip,第三就是很多时候你感觉你登录很久其实是后台在给你刷新 token,你长时间不使用 token 还是会过期
    philipjf
        41
    philipjf  
       2020-12-28 03:31:09 +08:00 via iPhone
    上面的大人物只关心能不能强迫用户安装 APP,绑定手机号,上传身份证,实时定位,摄像头监控,麦克风监控,同步通讯录,信息记录,童话记录,信用卡号…
    哪有功夫管用户账号安不安全,又不是不能用
    noble4cc
        42
    noble4cc  
    OP
       2020-12-28 09:53:13 +08:00
    @vzyw 关键很多垃圾 app 还都是 http
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2812 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 33ms · UTC 05:50 · PVG 13:50 · LAX 21:50 · JFK 00:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.