Byte/RE ИТ-издание

Защита от перехвата токенов в RooX UIDM

Компания RooX  объявила, что в системе управления авторизацией и аутентификацией RooX UIDM появилась защита от перехвата токенов доступа, что позволит усилить защиту приложений от несанкционированных действий.

Токен доступа – это специально генерируемый код, который используется для аутентификации и авторизации пользователя или приложения. Такой токен формируется в момент успешной аутентификации и используется для проверки подлинности пользователя каждый раз, когда тот совершает действие, например, просматривает баланс счета, данные профиля, переводит деньги, совершает покупку и т.д. Он позволяет избежать повторного ввода учетных данных при каждом действии пользователя.

Однако токен может быть перехвачен злоумышленниками из-за недостаточной защиты данных или ошибки в коде, что даст возможность совершать несанкционированные действия от лица пользователя. Поэтому важно регулярно обновлять токены и внедрять дополнительные меры безопасности.

Новая функция в RooX UIDM является одной из таких мер безопасности. Она проверяет, исходит ли запрос на действие с того же устройства, на котором был выдан токен доступа.

Функция работает на основе асимметричной криптографии. Сначала на устройстве, с которого пользователь входит в приложение, генерируется пара криптографических ключей: закрытый и открытый. В момент аутентификации выданный токен связывается с ключом. Далее при каждом запросе на действие на сервер передается не только токен доступа, но и дополнительная информация о действии, подписанная закрытым ключом. Сервер, получивший запрос, использует открытый ключ клиента для проверки подписи. Если подпись подтверждается, сервер может быть уверен, что запрос исходит от того же устройства.

Использование асимметричной криптографии позволяет надежно связывать запросы с конкретным устройством. Теперь, даже украв токен, злоумышленники не смогут выполнить никаких действий от имени человека.

Вам также могут понравиться